C'è un nuovo ceppo di attacchi che sta interessando molti sistemi in tutto il mondo (tra cui NHS nel Regno Unito e Telefonica in Spagna) che viene chiamato " WannaCry " tra gli altri nomi.
Sembra sia un attacco phishing / ransomware standard, ma si diffonde anche come un worm una volta entrato in una rete di destinazione.
In che modo questo malware sta compromettendo i sistemi delle persone e qual è il modo migliore per proteggersi da questo attacco?
Gli attacchi WannaCry vengono avviati utilizzando una vulnerabilità di esecuzione di codice in modalità remota SMBv1 nel sistema operativo Microsoft Windows. L'exploit EternalBlue è stato patchato da Microsoft il 14 marzo e reso disponibile pubblicamente attraverso la discarica "Shadowbrokers" il 14 aprile 2017 Tuttavia, molte aziende e organizzazioni pubbliche non hanno ancora installato la patch sui loro sistemi. Le patch Microsoft per le versioni legacy di Windows sono state rilasciate la scorsa settimana dopo l'attacco.
Come prevenire l'infezione da WannaCry?
Assicurati che tutti gli host abbiano attivato le soluzioni antimalware degli endpoint.
Installa la patch ufficiale di Windows (MS17-010) link , che chiude la vulnerabilità del server SMB utilizzata in questo attacco ransomware.
Scansiona tutti i sistemi. Dopo aver rilevato l'attacco malware come MEM: Trojan.Win64.EquationDrug.gen, riavviare il sistema. Assicurati che le patch MS17-010 siano installate.
Esegui il backup di tutti i dati importanti su un disco rigido esterno o su un servizio di archiviazione su cloud.
Maggiori informazioni qui: link
Il ransomware sta utilizzando un exploit noto e divulgato pubblicamente in SMBv1 (Server Message Block Versione 1). È un protocollo a livello di applicazione utilizzato per condividere file e stampanti in un ambiente di rete.
Il protocollo SMBv1 si trova comunemente in ambienti Windows in rete e include sistemi operativi come Windows XP, Windows 7, 8, 8.1 e 10. Windows Vista e successivi consentono l'uso di SMBv1 , anche se supportano i migliori protocolli SMBv2 e v3.
È improbabile che gli ambienti che non utilizzano l'implementazione di Microsoft siano interessati dall'exploit e dalle vulnerabilità correlate. Inoltre, anche gli ambienti che non supportano SMBv1 non sono interessati.
È possibile disabilitare il supporto SMBv1, secondo le indicazioni di Microsoft: link
Chi esegue Windows 8.1 o Windows Server 2012 R2 e versioni successive può disabilitare il supporto rimuovendo la funzionalità di Windows per "Supporto condivisione file SMB1.0 / CIFS".
Ci sono sei principali vulnerabilità nell'implementazione di SMBv1 da parte di Microsoft. I primi cinque (e più critici) sono quelli che consentono l'esecuzione di codice arbitrario remoto. L'ultimo consente la "divulgazione dei dati". Il ransomware sfrutta le prime cinque vulnerabilità e le sfrutta.
Misure che gli utenti / le imprese possono adottare per mitigare questo ransomware e altri includono:
Link web:
Cisco ha pubblicato un articolo su questo che va più nel dettaglio di qualsiasi altro io ho visto. I loro passi fondamentali per la prevenzione sono i seguenti:
- Ensure all Windows-based systems are fully patched. At a very minimum, ensure Microsoft bulletin MS17-010 has been applied.
- In accordance with known best practices, any organization who has SMB publically accessible via the internet (ports 139, 445) should immediately block inbound traffic.
E almeno sulla base di il bollettino Microsoft , sembrerebbe che questa è una vulnerabilità SMBv1, non SMBv2.
Chi è a rischio? Chiunque esegua i sistemi operativi elencati nell'annuncio della patch qui: link
Come? Il malware può essere fornito in molti modi, una volta compromesso l'endpoint, l'aspetto "worm" di questo malware sfrutta ms17-010. Quindi, potrebbe fare clic su un collegamento, aprire un archivio che è stato inviato via email ecc. Ecc. link
Sembra essere? Mi stai prendendo in giro; -)
Guardalo diffondere: link
Indicatori di compromesso: link
Cerca gli endpoint vulnerabili (nmap): link
È anche importante sapere che ci sono nuove varianti di Wannacry (doppiato Wannacry v2) che si ritiene non provengano dagli stessi autori.
In che modo questo malware compromette i sistemi:
Prima crea e imposta le seguenti voci di registro:
WannaCry quindi crea i seguenti mutex:
Dopo questo, termina i seguenti processi usando taskkill /f /im :
WannaCry inizia a cercare, crittografare e aggiungere .WCRY alla fine dei nomi dei file dei seguenti formati di file:
.123
.3dm
.3ds
.3g2
.3gp
.602
.7z
.ARC
.PAQ
.accdb
.aes
.ai
.asc
.asf
.asm
.asp
.avi
.backup
.bak
.bat
.bmp
.brd
.bz2
.cgm
.class
.cmd
.cpp
.crt
.cs
.csr
.csv
.db
.dbf
.dch
.der
.dif
.dip
.djvu
.doc
.docb
.docm
.docx
.dot
.dotm
.dotx
.dwg
.edb
.eml
.fla
.flv
.frm
.gif
.gpg
.gz
.hwp
.ibd
.iso
.jar
.java
.jpeg
.jpg
.js
.jsp
.key
.lay
.lay6
.ldf
.m3u
.m4u
.max
.mdb
.mdf
.mid
.mkv
.mml
.mov
.mp3
.mp4
.mpeg
.mpg
.msg
.myd
.myi
.nef
.odb
.odg
.odp
.ods
.odt
.onetoc2
.ost
.otg
.otp
.ots
.ott
.p12
.pas
.pem
.pfx
.php
.pl
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.ps1
.psd
.pst
.rar
.raw
.rb
.rtf
.sch
.sh
.sldm
.sldx
.slk
.sln
.snt
.sql
.sqlite3
.sqlitedb
.stc
.std
.sti
.stw
.suo
.svg
.swf
.sxc
.sxd
.sxi
.sxm
.sxw
.tar
.tbk
.tgz
.tif
.tiff
.txt
.uop
.uot
.vb
.vbs
.vcd
.vdi
.vmdk
.vmx
.vob
.vsd
.vsdx
.wav
.wb2
.wk1
.wks
.wma
.wmv
.xlc
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.zip
Per la prevenzione Nik ti ha dato tutto ciò che devi sapere, ma aggiungerò che dovresti provare a bloccare le connessioni in entrata sulla porta 445 / TCP. Assicurati di non bloccare il seguente dominio sinkhole, poiché questo è il kill switch trovato nel file binario di Wannacry v1:
hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Spero che ti aiuti.
Ci sono molte grandi risposte qui, ma questa risposta è illuminante in relazione ai recenti eventi. Il 18 gennaio 2017 US-Cert ha invitato gli amministratori a firewall fuori SMBv1 ma i commenti su questa storia dicono che l'unico motivo per cui il supporto di Windows XP è ancora in circolazione è perché l'NHS (il servizio sanitario nazionale del Regno Unito che ha interrotto il servizio il 12 maggio) paga M $ tonnellate di denaro per tenerlo in vita.
Se hai un laptop di backup Windows Vista precedente come me, potresti essere interessato a KB4012598 per Windows 8, XP, Vista, Server 2008 e Server 2003 che sono equivalenti a molto parlato di MS17-010 . Si tratta di patch manuali per versioni di Windows EOL (Fine vita) non supportate e aggiornamenti automatici. Microsoft ha compiuto il passo straordinario del rilascio di queste patch nelle ultime 48 ore.
Se ci sono utenti Linux che leggono questa risposta mi piacerebbe segnalare le vulnerabilità discusse in Ask Ubuntu su questo domanda che ho postato.
Questo article discute il blocco di porte specifiche e la disabilitazione di SMBv1 e SMBv2 in favore di SMBv3. Parte dell'articolo afferma che FBI dice che non dovresti pagare i criminali per riavere i tuoi dati, ma in tutta onestà pagherei 300 dollari per riavere indietro la mia vita.
I Shadow Broker hanno fatto 31 grandi fino ad oggi secondo un articolo di oggi. Fatto interessante, il nome è apparso per la prima volta (AFAIK) come un gruppo fittizio che ruota e si occupa di segreti in un videogioco di fantascienza inventato a Edmonton circa 10 anni fa. In secondo luogo, fanno pagare $ 300 per sbloccare i tuoi dati riscattati e pagavo $ 300 per riparazioni di dati di GL, AR, IC, PR, ecc. Detto questo dubito strongmente che gli Shadow Broker siano basati su Edmonton dove vivo.
La creazione del sito web link che funziona come un kill-switch per il ransomware si dice che sia stato messo a punto da una nuova versione di "Wanna Cry". Non ho letto molti articoli che confermano questo, ma per quanto riguarda i buchi SMBv1 e SMBv2 dovrebbero essere tappati. Le persone non dovrebbero fare affidamento sul kill-switch che funziona con le versioni future di "Wanna Cry" o con qualsiasi nuovo malware / ransomware che utilizza il loop-hole.
Se ti chiedi cosa dice benignamente il sito web di kill-switch, è:
sinkhole.tech - where the bots party hard and the researchers harder...
Chi non crede nelle cospirazioni può premere il pulsante Indietro. La NSA e Microsoft sapevano che questo sarebbe arrivato secondo questo articolo che circolava una petizione chiedendo di sapere ciò che Microsoft sapeva, quando, dove e come . Le accuse si basano sui tempi di Shadow Brokers, sulla NSA e sugli aggiornamenti di sicurezza MS.
It seems to be a both a standard phishing/ransomware attack but it's also spreading like a worm once it gets into a target network.
I server Windows sono in genere protetti da firewall che non superano SMB. Una volta che il primo computer su una rete protetta è infetto, il worm diffonde l'attacco che utilizza l'exploit SMB sopra riportato.
Mi piacerebbe avere conferma sul lato phishing dell'attacco. Microsoft (a partire da due giorni fa) non aveva ancora informazioni sul compromesso iniziale:
We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios that we believe are highly possible explanations for the spread of this ransomware:
Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit Infection through SMB exploit when an unpatched computer is addressable from other infected machines (https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/)
[Modifica] Ho appena visto che Forbes non crede che il phishing sia una componente importante di questo attacco. vedi link :
"...it's unlikely phishing emails were the primary infection method, given few have shared emails laced with the malware. Cisco's Talos division does not believe any phishing emails were used..."
In questo modo, i server non protetti con porte SMB esposte a Internet aperto sono il vettore di infezione principale. Ciò potrebbe spiegare alcuni degli obiettivi di alto profilo segnalati che hanno reti ampiamente diffuse (FedEx, NHS, ecc.). Ci vorrebbe solo un computer non esposto che sia anche connesso a una rete più ampia per eseguire il boot di un'infezione.
Oltre alle risposte precedenti, che menzionano solo Windows, e poiché esiste una domanda chiusa dup " WannaCry infetta Linux? " puntando a questo, vorrei aggiungere che anche le macchine Linux possono essere infettate se eseguono Wine: link
Sebbene l'installazione di patch del fornitore sia sempre una buona idea, vale la pena notare che il malware esegue un controllo DNS all'attivazione. Ho visto un dominio segnalato:
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Ma è probabile che ce ne siano altri. Quindi dovrebbe essere possibile monitorare la rete per nuove infezioni usando qualcosa di simile (su una macchina Linux / Unix) che verifica una stringa molto lunga come componente di dominio in una query DNS:
tcpdump -K dst port 53 | awk '$8 ~ /[^\.]{20,}/ { print $0; }'
(non testato: YMMV)
Risponderò un po 'in modo conciso alla parte "come proteggere"
Il malware si sta ancora diffondendo. Se il tuo sistema non è protetto, la sua durata residua viene calcolata in ore
Microsoft ha già rilasciato patch per tutte le versioni di Windows in manutenzione. Forse Windows ME non è stato corretto, altrimenti vai al # 4
Puoi difendere la tua infrastruttura da qualsiasi ransomware, o almeno limitarne il danno, applicando una politica di backup valida. Eseguire il backup su una macchina vulnerabile non ha senso in questa situazione. La sincronizzazione con il cloud può essere pericolosa
Sia che tu sia un utente domestico o una grande azienda, devi sempre applicare la regola del firewall: disabilita tutto tranne i servizi che stai effettivamente eseguendo.
Esecuzione di un'applicazione Web? Apri solo le porte 80/443. Esecuzione di Torrent a casa? Utilizza upnp o scegli le porte da aprire sul tuo modem.
Non usare DMZ. Se hai davvero bisogno di SMB, devi pensarci attentamente. Discutere su ServerFault può essere buono.
Se possiedi un sistema legacy che è davvero business critical e non può essere aggiornato in breve tempo, prendi in considerazione l'uso di air-gapping. La virtualizzazione di una vecchia versione di Windows è inutile perché il malware può diffondersi sulla tua rete di macchine obsolete. Se fallisci nel firewall e / o disabiliti completamente SMB, l'ultima opzione è rimuovere il cavo di rete finché non trovi una soluzione migliore
Leggi altre domande sui tag malware ransomware wannacry