it-swarm-eu.dev

Come si sta diffondendo il malware "WannaCry" e in che modo gli utenti dovrebbero difendersi da esso?

C'è una nuova varietà di attacchi che sta colpendo molti sistemi in tutto il mondo (incluso il servizio sanitario nazionale nel Regno Unito e Telefonica in Spagna) che viene chiamato "WannaCry" tra gli altri nomi.

Sembra essere un attacco phishing/ransomware sia standard, ma si sta diffondendo come un worm una volta entrato in una rete di destinazione.

In che modo questo malware sta compromettendo i sistemi delle persone e qual è il modo migliore per proteggersi da questo attacco?

247
Rory McCune

Gli attacchi WannaCry vengono avviati utilizzando una vulnerabilità di esecuzione di codice in modalità remota SMBv1 nel sistema operativo Microsoft Windows. L'exploit EternalBlue è stato patchato da Microsoft il 14 marzo e reso pubblicamente disponibile tramite la "discarica di Shadowbrokers" il 14 aprile 2017. Tuttavia, molte aziende e organizzazioni pubbliche non hanno ancora installato la patch sui loro sistemi . Le patch Microsoft per le versioni legacy di Windows sono state rilasciate la scorsa settimana dopo l'attacco.

Come prevenire l'infezione da WannaCry?

  1. Assicurarsi che tutti gli host abbiano abilitato le soluzioni anti-malware endpoint.

  2. Installa la patch ufficiale di Windows (MS17-010) https://technet.Microsoft.com/en-us/library/security/ms17-010.aspx , che chiude il SMB Vulnerabilità del server utilizzata in questo attacco ransomware.

  3. Scansiona tutti i sistemi. Dopo aver rilevato l'attacco di malware come MEM: Trojan.Win64.EquationDrug.gen, riavviare il sistema. Assicurarsi che siano installate le patch MS17-010.

  4. Eseguire il backup di tutti i dati importanti su un disco rigido esterno o un servizio di archiviazione cloud.

Maggiori informazioni qui: https://malwareless.com/wannacry-ransomware-massively-attacks-computer-systems-world/

135
Nik Nik

Il ransomware utilizza un exploit noto e divulgato pubblicamente in SMBv1 (Server Message Block versione 1). È un protocollo a livello di applicazione utilizzato per condividere file e stampanti in un ambiente di rete.

Il protocollo SMBv1 si trova comunemente negli ambienti Windows collegati in rete e include sistemi operativi come Windows XP, Windows 7, 8, 8.1 e 10. Windows Vista e successivamente consentono l'uso di SMBv1, anche se supportano i protocolli SMBv2 e v3 migliorati.

È improbabile che quegli ambienti che non utilizzano l'implementazione di Microsoft siano interessati dall'exploit e dalle vulnerabilità correlate. Inoltre, anche quegli ambienti che non supportano SMBv1 non sono interessati.

È possibile disabilitare il supporto SMBv1, secondo le indicazioni di Microsoft: https://support.Microsoft.com/kb/2696547

Coloro che eseguono Windows 8.1 o Windows Server 2012 R2 e versioni successive possono disabilitare il supporto rimuovendo la funzionalità di Windows per "Supporto per la condivisione di file SMB1.0/CIFS".

Esistono sei principali vulnerabilità nell'implementazione di SMBv1 di Microsoft. I primi cinque (e più critici) sono quelli che consentono l'esecuzione di codice arbitrario remoto. L'ultimo consente la "divulgazione dei dati". Il ransomware sfrutta le prime cinque vulnerabilità e le sfrutta.

Misure che gli utenti/le aziende possono adottare per mitigare questo ransomware e altri includono:

  • Assicurati che i sistemi siano patchati, le vulnerabilità sono state patchate a marzo 2017.
  • Conservare un backup recente del sistema o dati utente/aziendali critici.
  • Utilizzare e mantenere una soluzione antivirus
  • Utilizzare uno schema di backup come GFS (Nonno, padre, figlio).
  • Rimuovere l'uso o il supporto di SMBv1 (vedere sopra).
  • Separare la rete in modo tale da ridurre l'impatto dei danni.
  • Utilizzare un set diversificato di sistemi e sistemi operativi, se possibile.

Link internet:

https://technet.Microsoft.com/en-us/library/security/ms17-010.aspx

http://msdn.Microsoft.com/en-us/library/aa365233 (VS.85) aspx

http://www.eweek.com/security/wannacry-ransomware-attack-hits-victims-with-Microsoft-smb-exploit

64
dark_st3alth

Cisco ha pubblicato un articolo su questo che va più nel dettaglio di tutti gli altri che ho visto. I loro passaggi di base per la prevenzione sono i seguenti:

  • Assicurarsi che tutti i sistemi basati su Windows siano completamente patchati. Come minimo, assicurarsi che sia stato applicato il bollettino Microsoft MS17-010.
  • In conformità con le migliori pratiche note, qualsiasi organizzazione che abbia SMB accessibile pubblicamente via Internet (porte 139, 445) dovrebbe bloccare immediatamente il traffico in entrata.

E almeno in base a quel bollettino Microsoft , sembrerebbe che questa sia una vulnerabilità SMBv1, non SMBv2.

31
AndyO

Chi è a rischio? Chiunque esegua sistemi operativi elencati nell'annuncio della patch qui: https://technet.Microsoft.com/en-us/library/security/ms17-010.aspx

Come? Il malware può essere distribuito in molti modi, una volta che un endpoint è compromesso l'aspetto "worm" di questo malware sfrutta ms17-010. Quindi, potrebbe essere facendo clic su un collegamento, aprendo un archivio che è stato inviato via e-mail ecc. Ecc. https://www.Microsoft.com/en-us/security/portal/mmpc/help/ infection.aspx

Sembra essere? Ma stai scherzando ;-)

Guardalo diffondersi: https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all

Indicatori di compromesso: https://otx.alienvault.com/Pulse/5915d8374da2585a08eaf2f6/

Scansione per endpoint vulnerabili (nmap): https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse

20
Ed Daniel

È anche importante sapere che ci sono nuove varianti di Wannacry (soprannominato Wannacry v2) che si ritiene non appartengano agli stessi autori.

In che modo questo malware compromette i sistemi:

Innanzitutto crea e imposta le seguenti voci di registro:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Utilità di pianificazione aggiornamenti Microsoft" = "" [PATH_TO_RANSOMEWARE] [TRANSOMEWARE_EXE_NAME] "/ r"
  • HKEY_LOCAL_MACHINE\SOFTWARE\WannaCryptor\"wd" = "[PATH_TO_RANSOMEWARE]"
  • HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "% UserProfile%\Desktop! WannaCryptor! .Bmp"

WannaCry crea quindi i seguenti mutex:

  • Global\WINDOWS_TASKOSHT_MUTEX0
  • LGlobal\WINDOWS_TASKCST_MUTEX

Successivamente, termina i seguenti processi usando taskkill /f /im:

  • sqlwriter.exe
  • sqlserver.exe
  • Microsoft.Exchange. *
  • MSExchange *

WannaCry inizia a cercare, crittografare e aggiungere .WCRY alla fine dei nomi dei file dei seguenti formati di file:

.123
. 3dm
. 3ds
. 3G2
. 3gp
. 602
. 7z
.ARCO
. PAQ
. ACCDB
. Aes
. Ai
. Asc
. Asf
. Asm
. Asp
. Avi
Di backup.
. Bak
. Bat
. Bmp
. BRD
. Bz2
. CGM
.classe
. Cmd
. Cpp
. Crt
. Cs
. Csr
. Csv
. Db
. Dbf
. DCH
. Der
. DIF
.tuffo
. Djvu
. Doc
. DOCB
. DOCM
. Docx
.punto
. Dotm
. Dotx
. Dwg
. Edb
. Eml
. Fla
. Flv
. Frm
. Gif
. Gpg
. Gz
. HWP
. Ibd
. Iso
.vaso
.Giava
. Jpeg
. Jpg
. Js
. Jsp
.chiave
.posare
. Lay6
. LDF
. M3u
. M4U
. Max
. Mdb
. Mdf
. Mid
. Mkv
. MML
. Mov
. Mp3
. Mp4
. Mpeg
. Mpg
. Msg
. Myd
. Myi
. Nef
. Odb
. Odg
. ODP
. ODS
. Odt
. Onetoc2
. Ost
. Otg
. Otp
. Ots
. Ott
. P12
. Pas
.PDF
. PEM
. Pfx
. Php
. Pl
. Png
. Pot
. POTM
. Potx
. PPAM
. Pps
. PPSM
. PPSX
. Ppt
. Pptm
. Pptx
. Ps1
. Psd
. Pst
. Rar
.crudo
. Rb
. Rtf
. Sch
. Sh
. Sldm
. Sldx
. SLK
. SLN
. SNT
. Sql
. Sqlite3
. Sqlitedb
. Stc
. Std
. Sti
. STW
. Suo
. Svg
. Swf
. Sxc
. SXD
. Sxi
. SXM
. Sxw
.catrame
. Tbk
. Tgz
. Tif
. Tiff
.testo
. UOP
. Uot
. Vb
. VBS
. VCD
. Vdi
. Vmdk
. VMX
. Vob
. VSD
. Vsdx
. Wav
. WB2
. Wk1
. Wks
. Wma
. Wmv
. XLC
. XLM
. Xls
. Xlsb
. XLSM
. Xlsx
. Xlt
. XLTM
. Xltx
. XLW
.Cerniera lampo

Per prevenzione, Nik ti ha dato tutto ciò che devi sapere, ma aggiungerò che dovresti provare a bloccare le connessioni in entrata sulla porta 445/TCP. Assicurati di non bloccare il seguente dominio sinkhole, poiché questo è il kill switch trovato nel binario Wannacry v1:

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Spero che sia d'aiuto.

16
Soufiane Tahiri

Sembra essere un attacco phishing/ransomware sia standard, ma si sta anche diffondendo come un worm una volta entrato in una rete di destinazione.

I server Windows sono in genere dietro firewall che non passano SMB. Una volta infettata la prima macchina su una rete protetta, il worm propaga l'attacco utilizzando l'exploit SMB annotato sopra.

Vorrei ottenere una conferma sul lato phishing dell'attacco. Microsoft (già due giorni fa) non aveva ancora informazioni sul compromesso iniziale:

Non abbiamo trovato prove dell'esatto vettore di entrata iniziale utilizzato da questa minaccia, ma ci sono due scenari che riteniamo siano spiegazioni altamente possibili per la diffusione di questo ransomware:

Arrivo tramite e-mail di ingegneria sociale progettate per indurre gli utenti a eseguire il malware e attivare la funzionalità di diffusione del worm con l'exploit SMB exploit attraverso SMB exploit quando un computer senza patch è indirizzabile da altre macchine infette ( https://blogs.technet.Microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/ )

[Modifica] Ho appena visto che Forbes non pensa che il phishing sia una componente importante di questo attacco. vedi https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#37038021e599 :

"... è improbabile che le e-mail di phishing siano state il metodo di infezione principale, dato che pochi hanno condiviso e-mail collegate al malware. La divisione Talos di Cisco non crede che siano state utilizzate e-mail di phishing ..."

Ciò lascerebbe i server non protetti con SMB esposte a Internet aperto come vettore di infezione primario. Ciò potrebbe spiegare alcuni degli obiettivi di alto profilo segnalati che hanno reti ampiamente diffuse (FedEx, NHS, ecc. ) Sarebbe necessario solo un computer non esposto che si connettesse anche a una rete più ampia per bootstrap un'infezione.

6
IAmBarry

Il SSN era destinato a essere il primo colpo

Ci sono molte grandi risposte qui, ma questa risposta è illuminante dati gli eventi recenti. Il 18 gennaio 2017 S-Cert ha invitato gli amministratori a proteggere il firewall da SMBv1 ma i commenti su questa storia dicono che l'unica ragione per cui Windows XP è ancora in giro è perché il servizio sanitario nazionale ( I servizi sanitari nazionali del Regno Unito, che sono stati chiusi venerdì 12 maggio, pagano M $ tonnellate di denaro per mantenerlo in vita.

Un collegamento per tutti off supportano le versioni vulnerabili di Windows

Se hai un laptop di backup di Windows Vista più vecchio come me, potresti essere interessato a KB4012598 per Windows 8, XP, Vista, Server 2008 e Server 20 che sono equivalenti ai più discussi MS17-010 . Si tratta di patch manuali per EOL (End of Life) versioni di Windows fuori supporto e aggiornamenti automatici. Microsoft ha fatto lo straordinario passo nel rilascio di queste patch nelle ultime 48 ore.

Anche gli utenti Linux possono essere effettuati

Se ci sono utenti Linux che leggono questa risposta, vorrei sottolineare le vulnerabilità discusse in Chiedi a Ubuntu su questo Domanda Ho pubblicato.

Dettagli tecnici non elencati in altre risposte

Questo articolo discute il blocco di porte specifiche e la disabilitazione di SMBv1 e SMBv2 a favore di SMBv3. Parte dell'articolo afferma che [~ # ~] fbi [~ # ~] dice che non dovresti pagare i criminali per recuperare i tuoi dati ma in onestamente pagherei 300 dollari per riavere la mia vita.

Coincidenze spettrali

I Shadow Brokers hanno fatto 31 grandi premi finora secondo un articolo di oggi. Fatto interessante, il nome è apparso per la prima volta (AFAIK) come un gruppo immaginario che spinge e tratta segreti in un videogioco di fantascienza inventato a Edmonton circa 10 anni fa. Secondo fatto interessante, fanno pagare $ 300 per sbloccare i tuoi dati riscattati e io caricavo $ 300 per le riparazioni dei dati di GL, AR, IC, PR, ecc. Detto questo, dubito fortemente che gli Shadow Broker siano basati su Edmonton, dove vivo.

La versione due è fuori uso e kill switch non funzionerà

La creazione del sito Web http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/ che funziona come kill-switch per il ransomware è stata segnalata come affiancata da una nuova versione di "Wanna Cry". Non ho letto molti articoli che lo confermano, ma sotto tutti gli aspetti i fori SMBv1 e SMBv2 dovrebbero essere tappati. Le persone non dovrebbero fare affidamento sul kill switch che funziona con le future versioni di "Wanna Cry" o qualsiasi nuovo malware/ransomware che utilizza il loop-hole.

Se ti chiedi cosa dice benignamente il sito web kill-switch, è:

sinkhole.tech - dove i robot fanno festa e i ricercatori più duramente ...

Teorie della cospirazione di Microsoft

Coloro che non credono nelle cospirazioni possono premere il pulsante Indietro. Il NSA e Microsoft sapevano che sarebbe arrivato in base a questo articolo che diffondeva una petizione che chiedeva di sapere cosa Microsoft sapeva, quando, dove e come . Le accuse si basano sul tempistica di Shadow Brokers, NSA viene violato e aggiornamenti di sicurezza di MS.

6
WinEunuuchs2Unix

Oltre alle risposte precedenti, che menzionano solo Windows e poiché esiste una domanda chiusa " WannaCry infetta Linux? " che punta a questo, vorrei aggiungere che le macchine Linux possono ottenere infetto anche se eseguono Wine: https://Twitter.com/hackerfantastic/status/863359375787925505

4
dr_

Mentre l'installazione di patch del fornitore è sempre una buona idea, vale anche la pena notare che il malware ha un controllo DNS all'attivazione. Ho visto un dominio segnalato:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Ma è probabile che ci sia forse di più. Quindi dovrebbe essere possibile monitorare la tua rete per nuove infezioni usando qualcosa del genere (su un box Linux/Unix) che verifica una stringa molto lunga come componente di dominio in una query DNS:

tcpdump -K dst port 53 | awk '$8 ~ /[^\.]{20,}/ { print $0; }'

(non testato: YMMV)

3
symcbean

Risponderò un po 'concisamente alla parte "come proteggere"

0. Agisci rapidamente

Il malware si sta ancora diffondendo. Se il sistema non è protetto, la durata residua viene conteggiata in ore

1. Assicurarsi di eseguire gli aggiornamenti di sistema richiesti

Microsoft ha già rilasciato patch per tutte le versioni di Windows in manutenzione. Forse Windows ME non è stato patchato, altrimenti vai al numero 4

2. Backup

Puoi difendere la tua infrastruttura da qualsiasi ransomware, o almeno limitarne il danno, applicando una politica di backup valida. Il backup su una macchina vulnerabile non ha senso in questa situazione. La sincronizzazione con il cloud può essere pericolosa

3. Firewall te stesso dall'esterno

Sia se sei un utente domestico o una grande impresa, devi sempre applicare la regola empirica del firewall: disabilita tutto tranne i servizi che stai effettivamente eseguendo.

Esecuzione di un'applicazione Web? Apri solo le porte 80/443. Esegui Torrent a casa? Usa upnp o scegli le porte da aprire sul tuo modem.

Non usare DMZ. Se hai davvero bisogno di SMB devi pensarci attentamente. Discutere su ServerFault potrebbe essere buono.

4. Spazio vuoto o vecchie macchine con firewall sicuro

Se possiedi un sistema legacy che è veramente critico per il business e non può essere aggiornato in breve tempo, prendi in considerazione l'idea di lasciarlo andare. La virtualizzazione di una vecchia versione di Windows è inutile perché il malware può diffondersi sulla tua rete di macchine obsolete. Se non si riesce a proteggere il firewall e/o disabilitare SMB completamente, l'ultima opzione è quella di rimuovere il cavo di rete fino a trovare una soluzione migliore