Wanna Cry crittografa i file su unità di rete?

2

Mi sono occupato delle minacce ransomware in passato, come LOCKY che non solo crittografa i dati che considera i documenti dell'utente trovato sul computer locale, ma anche su qualsiasi unità di rete a cui l'utente dispone di autorizzazioni sufficienti per modificare i dati.

Alcune delle varianti di Wanna Cry enumerano e crittografano i dati su:

  1. Unità di rete mappate?
  2. condivisioni di rete che sono non attualmente connesse tramite un'unità mappata?

Ho cercato su Google la mia domanda ma non ho trovato una risposta diretta.

Nota: non sto chiedendo in che modo la minaccia di Wanna Cry infetta altri nodi tramite EternalBlue SMB exploit.

    
posta Twisty Impersonator 23.05.2017 - 20:33
fonte

2 risposte

5

Sì, WannaCry punta alle unità di rete e ai supporti rimovibili, secondo Talos Intelligence :

The file tasksche.exe [a WannaCry component] checks for disk drives, including network shares and removable storage devices mapped to a letter, such as 'C:/', 'D:/' etc. The malware then checks for files with a file extension as listed in the appendix and encrypts these using 2048-bit RSA encryption.

Questo è particolarmente preoccupante perché, secondo l'analisi tecnica di Endgame Inc , il malware garantisce anche autorizzazioni complete per Everyone su file che è in grado di fare in modo che possano avere gravi conseguenze nel caso di condivisioni di Active Directory.

    
risposta data 24.05.2017 - 16:00
fonte
1

La risposta breve è "È possibile".

È importante capire le circostanze in cui ciò è possibile:

1: se le unità di rete condivise esistono su un server vulnerabile e il server stesso è infetto

2: se il contesto utente in cui è in esecuzione l'infezione ha una connessione stabilita con una risorsa di rete, viene autenticato al momento dell'infezione e autorizzato a modificarlo. Ad esempio, un cryptomalware eseguito nel contesto di "SYSTEM" - senza sfruttare una vulnerabilità - non dovrebbe essere in grado di apportare modifiche a una condivisione di rete che richiede l'autenticazione, a condizione che un altro utente con permessi di scrittura non sia già autenticato attivamente.

3: Se i file condivisi sono mal implementati. Ad esempio, un metodo molto antefatto e pericoloso che ho visto in uso diffuso è il lancio di uno script nella cartella di avvio di un computer che si connette e autentica a una condivisione di file. In linea di massima, in Windows (e principalmente altrove), le attività automatiche dovrebbero essere eseguite solo nel contesto di una sessione autenticata e non dovrebbero mai essere avviate da uno script che contiene credenziali hardcoded

Una buona regola empirica da considerare quando si pensa al cryptomalware o veramente a qualsiasi malware: se una determinata macchina o sessione sta indicizzando i file per una ricerca rapida su una risorsa, esiste almeno un rischio di divulgazione o distruzione da parte di una minaccia funziona su quella macchina o sessione.

    
risposta data 23.05.2017 - 20:59
fonte

Leggi altre domande sui tag