Come si diffonde il malware "WannaCry" e in che modo gli utenti dovrebbero difendersi da esso?

242

C'è un nuovo ceppo di attacchi che sta interessando molti sistemi in tutto il mondo (tra cui NHS nel Regno Unito e Telefonica in Spagna) che viene chiamato " WannaCry " tra gli altri nomi.

Sembra sia un attacco phishing / ransomware standard, ma si diffonde anche come un worm una volta entrato in una rete di destinazione.

In che modo questo malware sta compromettendo i sistemi delle persone e qual è il modo migliore per proteggersi da questo attacco?

    
posta Rоry McCune 12.05.2017 - 21:02
fonte

10 risposte

135

Gli attacchi WannaCry vengono avviati utilizzando una vulnerabilità di esecuzione di codice in modalità remota SMBv1 nel sistema operativo Microsoft Windows. L'exploit EternalBlue è stato patchato da Microsoft il 14 marzo e reso disponibile pubblicamente attraverso la discarica "Shadowbrokers" il 14 aprile 2017 Tuttavia, molte aziende e organizzazioni pubbliche non hanno ancora installato la patch sui loro sistemi. Le patch Microsoft per le versioni legacy di Windows sono state rilasciate la scorsa settimana dopo l'attacco.

Come prevenire l'infezione da WannaCry?

  1. Assicurati che tutti gli host abbiano attivato le soluzioni antimalware degli endpoint.

  2. Installa la patch ufficiale di Windows (MS17-010) link , che chiude la vulnerabilità del server SMB utilizzata in questo attacco ransomware.

  3. Scansiona tutti i sistemi. Dopo aver rilevato l'attacco malware come MEM: Trojan.Win64.EquationDrug.gen, riavviare il sistema. Assicurati che le patch MS17-010 siano installate.

  4. Esegui il backup di tutti i dati importanti su un disco rigido esterno o su un servizio di archiviazione su cloud.

Maggiori informazioni qui: link

    
risposta data 12.05.2017 - 22:31
fonte
64

Il ransomware sta utilizzando un exploit noto e divulgato pubblicamente in SMBv1 (Server Message Block Versione 1). È un protocollo a livello di applicazione utilizzato per condividere file e stampanti in un ambiente di rete.

Il protocollo SMBv1 si trova comunemente in ambienti Windows in rete e include sistemi operativi come Windows XP, Windows 7, 8, 8.1 e 10. Windows Vista e successivi consentono l'uso di SMBv1 , anche se supportano i migliori protocolli SMBv2 e v3.

È improbabile che gli ambienti che non utilizzano l'implementazione di Microsoft siano interessati dall'exploit e dalle vulnerabilità correlate. Inoltre, anche gli ambienti che non supportano SMBv1 non sono interessati.

È possibile disabilitare il supporto SMBv1, secondo le indicazioni di Microsoft: link

Chi esegue Windows 8.1 o Windows Server 2012 R2 e versioni successive può disabilitare il supporto rimuovendo la funzionalità di Windows per "Supporto condivisione file SMB1.0 / CIFS".

Ci sono sei principali vulnerabilità nell'implementazione di SMBv1 da parte di Microsoft. I primi cinque (e più critici) sono quelli che consentono l'esecuzione di codice arbitrario remoto. L'ultimo consente la "divulgazione dei dati". Il ransomware sfrutta le prime cinque vulnerabilità e le sfrutta.

Misure che gli utenti / le imprese possono adottare per mitigare questo ransomware e altri includono:

  • Verifica che i sistemi siano corretti, le vulnerabilità sono state corrette in marzo 2017.
  • Tieni un backup recente del tuo sistema o dei dati utente / aziendali critici.
  • Utilizzare e gestire una soluzione antivirus
  • Utilizza uno schema di backup come GFS (Nonno, padre, figlio).
  • Rimuovi l'uso o il supporto di SMBv1 (vedi sopra).
  • Segrega la rete in modo tale da ridurre l'impatto del danno.
  • Utilizza un insieme diversificato di sistemi e sistemi operativi, se possibile.

Link web:

link

link

link

    
risposta data 13.05.2017 - 21:36
fonte
31

Cisco ha pubblicato un articolo su questo che va più nel dettaglio di qualsiasi altro io ho visto. I loro passi fondamentali per la prevenzione sono i seguenti:

  • Ensure all Windows-based systems are fully patched. At a very minimum, ensure Microsoft bulletin MS17-010 has been applied.
  • In accordance with known best practices, any organization who has SMB publically accessible via the internet (ports 139, 445) should immediately block inbound traffic.

E almeno sulla base di il bollettino Microsoft , sembrerebbe che questa è una vulnerabilità SMBv1, non SMBv2.

    
risposta data 13.05.2017 - 13:27
fonte
20

Chi è a rischio? Chiunque esegua i sistemi operativi elencati nell'annuncio della patch qui: link

Come? Il malware può essere fornito in molti modi, una volta compromesso l'endpoint, l'aspetto "worm" di questo malware sfrutta ms17-010. Quindi, potrebbe fare clic su un collegamento, aprire un archivio che è stato inviato via email ecc. Ecc. link

Sembra essere? Mi stai prendendo in giro; -)

Guardalo diffondere: link

Indicatori di compromesso: link

Cerca gli endpoint vulnerabili (nmap): link

    
risposta data 12.05.2017 - 21:25
fonte
16

È anche importante sapere che ci sono nuove varianti di Wannacry (doppiato Wannacry v2) che si ritiene non provengano dagli stessi autori.

In che modo questo malware compromette i sistemi:

Prima crea e imposta le seguenti voci di registro:

  • HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "Microsoft Updates Task Scheduler"="" [PATH_TO_RANSOMEWARE] [TRANSOMEWARE_EXE_NAME] "/ r"
  • HKEY_LOCAL_MACHINE \ SOFTWARE \ WannaCryptor \ "wd"="[PATH_TO_RANSOMEWARE]"
  • HKEY_CURRENT_USER \ Pannello di controllo \ Desktop \ "Sfondo"="% UserProfile% \ Desktop! WannaCryptor! .bmp"

WannaCry quindi crea i seguenti mutex:

  • Global \ WINDOWS_TASKOSHT_MUTEX0
  • LGlobal \ WINDOWS_TASKCST_MUTEX

Dopo questo, termina i seguenti processi usando taskkill /f /im :

  • sqlwriter.exe
  • sqlserver.exe
  • Microsoft.Exchange. *
  • di Microsoft Exchange *

WannaCry inizia a cercare, crittografare e aggiungere .WCRY alla fine dei nomi dei file dei seguenti formati di file:

.123
.3dm
.3ds
.3g2
.3gp
.602
.7z
.ARC
.PAQ
.accdb
.aes
.ai
.asc
.asf
.asm
.asp
.avi
.backup
.bak
.bat
.bmp
.brd
.bz2
.cgm
.class
.cmd
.cpp
.crt
.cs
.csr
.csv
.db
.dbf
.dch
.der
.dif
.dip
.djvu
.doc
.docb
.docm
.docx
.dot
.dotm
.dotx
.dwg
.edb
.eml
.fla
.flv
.frm
.gif
.gpg
.gz
.hwp
.ibd
.iso
.jar
.java
.jpeg
.jpg
.js
.jsp
.key
.lay
.lay6
.ldf
.m3u
.m4u
.max
.mdb
.mdf
.mid
.mkv
.mml
.mov
.mp3
.mp4
.mpeg
.mpg
.msg
.myd
.myi
.nef
.odb
.odg
.odp
.ods
.odt
.onetoc2
.ost
.otg
.otp
.ots
.ott
.p12
.pas
.pdf
.pem
.pfx
.php
.pl
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.ps1
.psd
.pst
.rar
.raw
.rb
.rtf
.sch
.sh
.sldm
.sldx
.slk
.sln
.snt
.sql
.sqlite3
.sqlitedb
.stc
.std
.sti
.stw
.suo
.svg
.swf
.sxc
.sxd
.sxi
.sxm
.sxw
.tar
.tbk
.tgz
.tif
.tiff
.txt
.uop
.uot
.vb
.vbs
.vcd
.vdi
.vmdk
.vmx
.vob
.vsd
.vsdx
.wav
.wb2
.wk1
.wks
.wma
.wmv
.xlc
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.zip

Per la prevenzione Nik ti ha dato tutto ciò che devi sapere, ma aggiungerò che dovresti provare a bloccare le connessioni in entrata sulla porta 445 / TCP. Assicurati di non bloccare il seguente dominio sinkhole, poiché questo è il kill switch trovato nel file binario di Wannacry v1:

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Spero che ti aiuti.

    
risposta data 15.05.2017 - 13:48
fonte
6

NHS è stato condannato a essere il primo hit

Ci sono molte grandi risposte qui, ma questa risposta è illuminante in relazione ai recenti eventi. Il 18 gennaio 2017 US-Cert ha invitato gli amministratori a firewall fuori SMBv1 ma i commenti su questa storia dicono che l'unico motivo per cui il supporto di Windows XP è ancora in circolazione è perché l'NHS (il servizio sanitario nazionale del Regno Unito che ha interrotto il servizio il 12 maggio) paga M $ tonnellate di denaro per tenerlo in vita.

Un link per tutto off supporta le versioni vulnerabili di Windows

Se hai un laptop di backup Windows Vista precedente come me, potresti essere interessato a KB4012598 per Windows 8, XP, Vista, Server 2008 e Server 2003 che sono equivalenti a molto parlato di MS17-010 . Si tratta di patch manuali per versioni di Windows EOL (Fine vita) non supportate e aggiornamenti automatici. Microsoft ha compiuto il passo straordinario del rilascio di queste patch nelle ultime 48 ore.

Anche gli utenti Linux possono essere effettuati

Se ci sono utenti Linux che leggono questa risposta mi piacerebbe segnalare le vulnerabilità discusse in Ask Ubuntu su questo domanda che ho postato.

Dettagli tecnici non elencati in altre risposte

Questo article discute il blocco di porte specifiche e la disabilitazione di SMBv1 e SMBv2 in favore di SMBv3. Parte dell'articolo afferma che FBI dice che non dovresti pagare i criminali per riavere i tuoi dati, ma in tutta onestà pagherei 300 dollari per riavere indietro la mia vita.

coincidenze spettrali

I Shadow Broker hanno fatto 31 grandi fino ad oggi secondo un articolo di oggi. Fatto interessante, il nome è apparso per la prima volta (AFAIK) come un gruppo fittizio che ruota e si occupa di segreti in un videogioco di fantascienza inventato a Edmonton circa 10 anni fa. In secondo luogo, fanno pagare $ 300 per sbloccare i tuoi dati riscattati e pagavo $ 300 per riparazioni di dati di GL, AR, IC, PR, ecc. Detto questo dubito strongmente che gli Shadow Broker siano basati su Edmonton dove vivo.

La versione due è fuori e kill switch non funzionerà

La creazione del sito web link che funziona come un kill-switch per il ransomware si dice che sia stato messo a punto da una nuova versione di "Wanna Cry". Non ho letto molti articoli che confermano questo, ma per quanto riguarda i buchi SMBv1 e SMBv2 dovrebbero essere tappati. Le persone non dovrebbero fare affidamento sul kill-switch che funziona con le versioni future di "Wanna Cry" o con qualsiasi nuovo malware / ransomware che utilizza il loop-hole.

Se ti chiedi cosa dice benignamente il sito web di kill-switch, è:

sinkhole.tech - where the bots party hard and the researchers harder...

Teorie della cospirazione di Microsoft

Chi non crede nelle cospirazioni può premere il pulsante Indietro. La NSA e Microsoft sapevano che questo sarebbe arrivato secondo questo articolo che circolava una petizione chiedendo di sapere ciò che Microsoft sapeva, quando, dove e come . Le accuse si basano sui tempi di Shadow Brokers, sulla NSA e sugli aggiornamenti di sicurezza MS.

    
risposta data 17.05.2017 - 02:55
fonte
6

It seems to be a both a standard phishing/ransomware attack but it's also spreading like a worm once it gets into a target network.

I server Windows sono in genere protetti da firewall che non superano SMB. Una volta che il primo computer su una rete protetta è infetto, il worm diffonde l'attacco che utilizza l'exploit SMB sopra riportato.

Mi piacerebbe avere conferma sul lato phishing dell'attacco.  Microsoft (a partire da due giorni fa) non aveva ancora informazioni sul compromesso iniziale:

We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios that we believe are highly possible explanations for the spread of this ransomware:

Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit Infection through SMB exploit when an unpatched computer is addressable from other infected machines (https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/)

[Modifica] Ho appena visto che Forbes non crede che il phishing sia una componente importante di questo attacco. vedi link :

"...it's unlikely phishing emails were the primary infection method, given few have shared emails laced with the malware. Cisco's Talos division does not believe any phishing emails were used..."

In questo modo, i server non protetti con porte SMB esposte a Internet aperto sono il vettore di infezione principale. Ciò potrebbe spiegare alcuni degli obiettivi di alto profilo segnalati che hanno reti ampiamente diffuse (FedEx, NHS, ecc.). Ci vorrebbe solo un computer non esposto che sia anche connesso a una rete più ampia per eseguire il boot di un'infezione.

    
risposta data 15.05.2017 - 16:44
fonte
4

Oltre alle risposte precedenti, che menzionano solo Windows, e poiché esiste una domanda chiusa dup " WannaCry infetta Linux? " puntando a questo, vorrei aggiungere che anche le macchine Linux possono essere infettate se eseguono Wine: link

    
risposta data 16.05.2017 - 16:39
fonte
3

Sebbene l'installazione di patch del fornitore sia sempre una buona idea, vale la pena notare che il malware esegue un controllo DNS all'attivazione. Ho visto un dominio segnalato:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Ma è probabile che ce ne siano altri. Quindi dovrebbe essere possibile monitorare la rete per nuove infezioni usando qualcosa di simile (su una macchina Linux / Unix) che verifica una stringa molto lunga come componente di dominio in una query DNS:

tcpdump -K dst port 53 | awk '$8 ~ /[^\.]{20,}/ { print $0; }'

(non testato: YMMV)

    
risposta data 15.05.2017 - 13:44
fonte
0

Risponderò un po 'in modo conciso alla parte "come proteggere"

0. Agisci rapidamente

Il malware si sta ancora diffondendo. Se il tuo sistema non è protetto, la sua durata residua viene calcolata in ore

1. Assicurati di eseguire gli aggiornamenti di sistema richiesti

Microsoft ha già rilasciato patch per tutte le versioni di Windows in manutenzione. Forse Windows ME non è stato corretto, altrimenti vai al # 4

2. Backup

Puoi difendere la tua infrastruttura da qualsiasi ransomware, o almeno limitarne il danno, applicando una politica di backup valida. Eseguire il backup su una macchina vulnerabile non ha senso in questa situazione. La sincronizzazione con il cloud può essere pericolosa

3. Firewall te stesso dall'esterno

Sia che tu sia un utente domestico o una grande azienda, devi sempre applicare la regola del firewall: disabilita tutto tranne i servizi che stai effettivamente eseguendo.

Esecuzione di un'applicazione Web? Apri solo le porte 80/443. Esecuzione di Torrent a casa? Utilizza upnp o scegli le porte da aprire sul tuo modem.

Non usare DMZ. Se hai davvero bisogno di SMB, devi pensarci attentamente. Discutere su ServerFault può essere buono.

4. Macchine vecchie o firewall con strong firewall

Se possiedi un sistema legacy che è davvero business critical e non può essere aggiornato in breve tempo, prendi in considerazione l'uso di air-gapping. La virtualizzazione di una vecchia versione di Windows è inutile perché il malware può diffondersi sulla tua rete di macchine obsolete. Se fallisci nel firewall e / o disabiliti completamente SMB, l'ultima opzione è rimuovere il cavo di rete finché non trovi una soluzione migliore

    
risposta data 19.05.2017 - 16:40
fonte

Leggi altre domande sui tag