Wannacry - T-Systems Ungaria

Weekendul trecut a fost interesant și obositor pentru mulți profesioniști din domeniul securității IT, dar este aproape sigur că nu numai că au auzit despre ce s-a întâmplat. Deși povestea pare să se stabilească, dar conform opiniei unanime a experților, nu avem motive să ne așezăm.
Am dori să vă ajutăm cu rezumatul și sugestiile noastre de mai jos.

Ce s-a întâmplat? - WannaCry, WannaCryptor, WanaCrypt0r Wana Decrypt0r?

Un virus de șantaj a luat sute de mii de PC-uri Windows din întreaga lume în câteva ore.
Mai precis, datele stocate pe acesta sunt criptate și promit cheia necesară pentru decriptare în schimbul unei răscumpărări. Dacă plata nu se face într-un anumit timp, aceasta va șterge cheia de decriptare și fișierele se vor pierde. El cere răscumpărarea pentru un cont BitCoin neretabil, dar nu există nicio garanție că cheia va ajunge pentru plată. Acest lucru poate fi deosebit de dureros în cazul unei infecții cu serverul de fișiere al întreprinderii, dar poate provoca, de asemenea, pierderi grave ca utilizator de acasă dacă nu există o copie de rezervă a datelor noastre.

Dar cum sa întâmplat atât de repede?

Am mai văzut nenumărate viruși de șantaj, dar în modul său de transmitere, acesta este special acum. În timp ce software-ul rău ajunge de obicei prin e-mail sau vizitează un site infectat vizitând un site infectat, wannacry nu necesită interacțiunea cu utilizatorul, este suficient ca anumite circumstanțe să coexiste. Situația este în continuare agravată de faptul că mașinile infectate devin imediat distribuitori, astfel încât până la epuizarea potențialelor victime, răspândirea este aproape de neoprit.

Ce legătură au toate acestea cu NSA?

NSA (Agenția Națională de Securitate) a dezvoltat o armă cibernetică (software) care exploatează o vulnerabilitate în Microsoft Windows, care a fost achiziționată de un grup de hackeri și pusă la dispoziția oricui în luna aprilie a acestui an. Astfel, prin înarmarea unui virus de șantaj preexistent cu acest instrument, o nouă variantă neobservată a fost creată de autorii necunoscuți în prezent.

Care sunt circumstanțele care, atunci când sunt puse împreună, sunt expuse riscului?

Mașinile cu o conexiune netă și o anumită vulnerabilitate sunt expuse riscului.
Microsoft este conștient de această vulnerabilitate - o eroare în serviciul Windows încorporat - și chiar a lansat un patch de securitate pe 14 martie. De asemenea, face parte dintr-o actualizare regulată lansată de atunci. Patch-ul de securitate pentru versiunile de Windows acceptate este disponibil aici:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Astfel, toți cei care au instalat actualizarea lansată la timp erau deja protejați.

Dar s-a terminat, nu-i așa? Ce poveste „Killswitch”?

Nu, încă nu s-a terminat. Un expert în securitate IT a oprit accidental răspândirea prin înregistrarea unui domeniu - acest domeniu a fost găsit în analiză, nu știa la ce servește - deoarece s-a dovedit mai târziu că virusul verifică existența acestuia și dacă primește un răspuns pozitiv, se oprește înainte de distribuire ulterioară. Probabil, această caracteristică a fost integrată în dezvoltatori, astfel încât să poată opri răspândirea în orice moment.
Dar! Nu există nimic care să împiedice lumea interlopă cibernetică să lanseze o versiune fără această caracteristică - și au făcut-o sâmbătă.
Prin urmare, numărul de mașini infectate continuă să crească.

O putem face?

Într-un mediu de întreprindere, verificați starea punctelor finale pentru patch-ul MS17-010, în special pentru versiunile de Windows care nu mai sunt acceptate, unde nu ar mai putea fi instalat ca o actualizare automată.
Dacă vreun motiv împiedică acest lucru - de exemplu, un mediu productiv nu permite schimbarea - se recomandă dezactivarea SMBv1 în rețea până la instalarea patch-ului.
Dacă problema a apărut deja, cea mai urgentă sarcină este de a izola mașina afectată cât mai curând posibil, de a o deconecta de la rețea și de a seta serverele de fișiere în modul numai citire.

sugestiile noastre suplimentare:

• Este o idee bună să căutați comunicarea în următorul domeniu în jurnalele proxy (după înlocuirea caracterelor suplimentare). Blocarea este INTERZISĂ!
hxxp: // www [punct] ifferfsodp9ifjaposdfjhgosurijfaewrwergwea [punct] com - dacă există o lovitură, este posibil să se fi produs o infecție în rețea.
• Dezactivați SMBv1
• Alarmă SIEM pentru orice trafic TOR (comunicarea C&C are loc prin rețeaua TOR)
Pe baza unei liste de puncte de ieșire extrase din feed-ul de amenințare (de exemplu, hailataxii - lista punctelor de ieșire blutmagie.de)
• Alarmă SIEM bazată pe următoarele IoC-uri:
Numele fișierelor:
d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa b.
055c7760512c98c8d51e4427227fe2a7ea3b34ee63178fe78631fa8aa6d15622 c.wnry
402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c r.wnry
e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b s.wnry
4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 taskdl.exe
2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d taskse.exe
97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6 t.wnry
b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 u.wnry

IP-uri CNC:
 188 [.] 166 [.] 23 [.] 127: 443
 193 [.] 23 [.] 244 [.] 244: 443
 2 [.] 3 [.] 69 [.] 209: 9001
 146 [.] 0 [.] 32 [.] 144: 9001
 50 [.] 7 [.] 161 [.] 218: 9001
 217.79.179 [.] 77
 128.31.0 [.] 39
 213.61.66 [.] 116
 212.47.232 [.] 237
Ê 81.30.158 [.] 223
 79.172.193 [.] 32
Ê 89.45.235 [.] 21
 38.229.72 [.] 16
 188.138.33 [.] 220

Semnături SNORT: 42329-42332, 42340, 41978

Adăugarea unei reguli de protecție a accesului pe McAfee VSE 8.8.
Regula 1:
Tipul regulii: Regula de blocare a registrului
Proces care include: *
Cheie de registru sau valoare de protejat: HKLM -/Software/WanaCrypt0r
Cheie de registru sau valoare p protect: Cheie
Acțiuni de fișier pentru a preveni: Creați cheie sau valoare
Regula 2:
Tipul regulii: Regula de blocare a fișierelor/folderelor
Proces care include: *
Numele fișierului sau folderului de blocat: * .wnry
Acțiuni de fișier pentru a preveni: Fișiere noi create

În ENS 10-x:
Regula 1:
Executabil1:
Incluziune: Includeți
Nume fișier sau cale: *
SubRegula 2:
Tip de subregulă: Fișiere
Operații: Creați
Ținta 1:
Incluziune: Includeți
Fișier, numele folderului sau calea fișierului: * .wnry

Pentru utilizatorii casnici, cel mai important lucru este să instalați patch-ul de securitate cât mai curând posibil, înainte de a citi acest articol, dacă nu a fost deja. ACUM!
Dacă a apărut infecția, din păcate, numai recuperarea din copie de rezervă poate ajuta.

Ce mai poate veni?

După cum era de așteptat, wannacry 2.0 a fost extras în ultimele 72 de ore, iar metoda de distribuție în sine va rămâne adecvată pentru răspândirea oricărui alt malware până când potențialele victime vor fi disponibile. Așadar, povestea este departe de a fi terminată, de fapt! Al doilea val, bazat pe o vulnerabilitate exploatată pentru a distribui monedele, este deja în plină desfășurare, iar varianta numită Uiwix, de exemplu, nu mai include cunoscutul killswitch și este sigur că în curând vor fi lansate mai multe versiuni.
Un alt motiv de îngrijorare este că acesta este doar unul dintre instrumentele dezvoltate de ANS și făcut public în aprilie. Atacurile care exploatează alte vulnerabilități dezvoltate de agenție sau versiuni îmbunătățite ale acestora, pot apărea în curând.

Sună destul de rău. Cum să vă pregătiți?

Într-un mediu corporativ:
• Cel mai important lucru este să instalați periodic actualizări, în special cele legate de securitate
• backup planificat, ciclic! deși trebuie să te străduiești pentru asta, nu există o protecție 100% și, dacă ceva nu merge bine, ai un plan B (restaurare din copie de rezervă)
• actualizarea periodică a software-ului antivirus
• utilizarea unei soluții de detectare a comportamentului
• înființarea unei echipe de gestionare a incidentelor sau utilizarea unui astfel de serviciu pentru un răspuns rapid și eficient

Pentru utilizatorii casnici:
• Instalați actualizări ale sistemului de operare
• Backup regulat pe un dispozitiv extern care este conectat la computer numai pe durata backupului
• actualizări antivirus regulate
• activați și utilizați firewall-ul Windows în mod conștient (de exemplu, utilizați setarea „Sunt într-un loc public”)

Sperăm că ați găsit util rezumatul nostru atunci când ați citit pe un aparat fără infecții. Dacă aveți întrebări suplimentare, vă rugăm să contactați consultantul nostru de securitate IT.