Das ist passiert:

Am 27. Juni 2017 waren die ersten Organisationen wie zum Beispiel Regierungseinrichtungen und wichtige Infrastrukturbetreiber von der Ransomware „Petya“ betroffen. Der Angriff verbreitete sich unter Verwendung mehrerer lateraler Bewegungstechniken. Sie ähneln denen, die bei den Angriffen durch WanaCrypt0r/WannaCry im Mai 2017 zum Einsatz kamen, einschließlich einer Methode, die das Exploit-Tool ETERNALBLUE nutzt, um sich über das SMB-Protokoll von Microsoft Windows zu bewegen. Palo Alto Networks-Kunden wurden automatisch vor den Petya-Angriffen geschützt – dank der Schutzmaßnahmen, die verschiedenen Elementen unserer Next-Generation-Sicherheitsplattform entstammen und dort erstellt, bereitgestellt und durchgesetzt werden. In diesem On-Demand-Webcast erfahren Sie mehr über den Bedrohungskontext und Schutzmaßnahmen in Bezug auf Petya.

Funktionsweise des Angriffs:

Obwohl der ursprüngliche Infektionsvektor unklar ist, so ist doch bekannt, dass Petya versucht, sich mithilfe verschiedener lateraler Bewegungstechniken auf andere Hosts zu verbreiten. Dabei wird unter anderem eine SMB-Sicherheitslücke (CVE-2017-0144) auf Microsoft Windows-Systemen genutzt, die das Exploit-Tool „ETERNALBLUE“ verwenden. Die Hackergruppe Shadow Brokers gab diese Sicherheitslücke im April 2017 öffentlich bekannt, Microsoft reagierte bereits im März 2017 mit dem Sicherheitsupdate MS17-010 darauf. Nach der erfolgreichen Infektion verschlüsselt die Malware die Systeme der Benutzer. Gegen die Zahlung von 300 US-Dollar sollte der Zugriff auf die Systeme wieder ermöglicht werden. Eine ausführliche Analyse, die sich mit dem Playbook des Petya-Angriffs beschäftigt, finden Sie im Blog des Unit 42-Bedrohungsforschungsteams.

Präventionen:

Palo Alto Networks-Kunden sind durch unsere Next-Generation-Sicherheitsplattform geschützt. Diese funktioniert nach dem Prinzip der Angriffsprävention und stoppt Bedrohungen über den ganzen Angriffsverlauf hinweg automatisch. Palo Alto Networks-Kunden sind durch mehrere, sich ergänzende Schutzmaßnahmen über die gesamte Plattform hinweg vor der Petya-Ransomware geschützt:

  • WildFire klassifiziert alle bekannten Samples als Malware und verhindert damit automatisch, dass den Benutzern schädliche Inhalte bereitgestellt werden.
  • AutoFocus verfolgt den Angriff für die Bedrohungsanalyse und -suche mithilfe des Petya-Tags.
  • Threat Prevention
    • Setzt IPS-Signaturen (Inhaltsversion: 688-2964) für den Exploit der SMB-Sicherheitslücke durch (CVE-2017-0144 – MS17-010), die bei diesem Angriff wahrscheinlich zum Einsatz kommen.
    • Blockiert die Schadsoftware über die folgenden Signaturen: „Virus/Win32.WGeneric.mkldr“ und „Virus/Win32.WGeneric.mkknd“.
  • GlobalProtect erweitert die Schutzmaßnahmen von WildFire und Threat Prevention um sicherzustellen, dass auch dezentrale Standorte und Benutzer jederzeit geschützt sind.
  • Traps verhindert die anfängliche Infektion, die in Verbindung mit der MeDoc-Softwareaktualisierung steht, indem die untergeordneten Prozesse geschützt und die DLL Hijacking-Regeln verwendet werden. (Inhaltsaktualisierungen sind hier verfügbar. Ein Konto ist dafür erforderlich.) Die Verbreitung der Malware durch die Nutzung von Mimikatz kann durch lokale Analysen und WildFire-Cloudabfragen verhindert werden.
  • App-ID sollte verwendet werden, um den SMB- und WMI-Traffic im gesamten Netzwerk zu steuern. Dieser sollte nur dort aktiviert werden, wo er wirklich notwendig ist, außerdem ist es empfehlenswert, ältere Protokollversionen (z. B. SMBv1) zu deaktivieren, da sie ein größeres Risiko darstellen.
  • Multi-Factor Authentication (MFA) kann die Verwendung von gültigen Nutzerdaten unterbinden, über die möglicherweise weitere Systeme im Netzwerk infiziert wurden.
  • Mithilfe der Segmentierung können Sie schädlichen Traffic zwischen benutzerdefinierten Zonen sperren und so die laterale Verbreitung von Petya verhindern. Außerdem können Sie eine Zero-Trust-Architektur in Ihrem Netzwerk implementieren, die innerhalb der Zonen für eine Mikrosegmentierung sorgt.

HINWEIS: Wir überwachen die Petya-Situation kontinuierlich und aktualisieren diesen Post laufend mit zusätzlichen Informationen hinsichtlich der Schutzmaßnahmen.

Informationen zu Best Practices in Bezug auf das Verhindern von Ransomware-Angriffe mit der Next-Generation-Sicherheitsplattform von Palo Alto Networks finden Sie in unserem Knowledge Base-Artikel. Wir empfehlen allen Windows-Benutzern zu überprüfen, ob die von Microsoft bereitgestellten aktuellen Patches installiert sind. Dabei sollten auch Softwareversionen bedacht werden, für die kein Support mehr verfügbar ist. Aktuelle Informationen zum Playbook des Petya-Angriffs finden Sie im Post von Unit 42. Nehmen Sie an diesem On-Demand-Webcast teil, und erfahren Sie mehr über den Bedrohungskontext und Schutzmaßnahmen in Bezug auf Petya.

Versionszusammenfassung:

Dienstag, 27. Juni 2017 – 20:00 Uhr PST

  • Informationen zum Schutz durch App-ID hinzugefügt

28. Juni 2017 – 13:15 Uhr PST

  • Informationen zu MFA und Segmentierung hinzugefügt

6. Juli 2017 – 17:15 Uhr PST

  • Informationen zu Traps hinzugefügt

Empfohlen

Produktübersicht

Übersicht der Plattformspezifikationen und Funktionen

  • 1253

Traps: Advanced Endpoint Protection

Palo Alto Networks Traps ersetzt traditionelle Antivirussoftware durch einen multimethodischen Schutzansatz. Dabei werden Endpunkte vor bekannten und unbekannten Malware-Angriffen und Exploits geschützt, bevor diese Schaden in einem System anrichten können. Mit Traps werden Sicherheitsverletzungen und Ransomware-Angriffe von vorne herein vermieden und nicht erst erkannt und behoben, nachdem bereits wichtige Ressourcen beschädigt wurden.

  • 16082

Datenblatt PA-5200 Series

Die Palo Alto Networks® PA-5200 Series der Next-Generation Firewall-Appliances umfasst die Modelle PA-5280, PA-5260, PA-5250 und PA-5220. Sie eignet sich perfekt für Hochgeschwindigkeits-Rechenzentren, Internetgateways und Bereitstel- lungen von Dienstanbietern. Die PA-5200 Series stellt durch dedizierte Verarbeitung und Speicherung bis zu 68 Gbit/s Durchsatz für die wesentlichen Funktionsbereiche Netzwerk, Sicherheit, Threat Prevention und Management bereit.

  • 5901

PA-800 Series

Die innovativen Firewalls der PA-800 Series von Palo Alto Networks umfassen die Modelle PA-820 und PA-850. Sie wurden zum Schutz von Zweigniederlassungen und mittelständischen Unternehmen entwickelt.

  • 5818

Datenblatt zur Firewall-Funktionsübersicht

Dieses achtseitige Datenblatt gibt Ihnen einen umfassenden Überblick über die wichtigsten PAN-OS-Funktionen, die die Firewalls der nächsten Generation von Palo Alto Networks antreiben.

  • 8781

Datenblatt PA-3200 Series

Die Palo Alto Networks® PA-3200 Series der Next-Generation Firewalls umfasst die Modelle PA-3260, PA-3250 und PA-3220. Sie alle sind für die Bereitstellung mit Hochgeschwindigkeits-Internetgateways ausgelegt. Die PA-3200 Series schützt den gesamten Datenverkehr, einschließlich verschlüsseltem Datenverkehr, durch dedizier- te Verarbeitung und Speicherung für Netzwerke, Sicherheit, Threat Prevention und Management.

  • 5654