Nik Nik

2017-05-13 01:31:22 UTC

view on stackexchange narkive permalink

Gli attacchi WannaCry vengono avviati utilizzando una vulnerabilità legata all'esecuzione di codice in modalità remota SMBv1 nel sistema operativo Microsoft Windows. L'exploit EternalBlue è stato patchato da Microsoft il 14 marzo e reso disponibile pubblicamente tramite "Shadowbrokers dump" il 14 aprile 2017. Tuttavia, molte aziende e organizzazioni pubbliche non hanno ancora installato la patch sui loro sistemi . Le patch Microsoft per le versioni precedenti di Windows sono state rilasciate la scorsa settimana dopo l'attacco.

Come prevenire l'infezione da WannaCry?

Fai assicurati che tutti gli host abbiano abilitato soluzioni anti-malware per endpoint.
Installa la patch ufficiale di Windows (MS17-010) https://technet.microsoft.com/en -us / library / security / ms17-010.aspx, che chiude la vulnerabilità del server SMB utilizzata in questo attacco ransomware.
Scansiona tutti i sistemi. Dopo aver rilevato l'attacco malware come MEM: Trojan.Win64.EquationDrug.gen, riavviare il sistema. Assicurati che le patch MS17-010 siano installate.
Esegui il backup di tutti i dati importanti su un disco rigido esterno o su un servizio di archiviazione cloud.

Maggiori informazioni qui: https://malwareless.com/wannacry-ransomware-massively-attacks-computer-systems-world/

Aspetta - hai detto "reso pubblicamente disponibile tramite la discarica di Shadowbrokers il 14 aprile 2017 e patchato da Microsoft il 14 marzo".Quindi, è stata patchata un mese * prima * di essere resa pubblica o hai mescolato le date per sbaglio?

@Dragomok Nota che è l '* exploit * uscito un mese dopo la patch.Non è così insolito.Dato il numero di computer non aggiornati, un modo semplice per trovare i difetti sfruttabili è aspettare che vengano rilasciate le patch.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/58852/discussion-on-answer-by-nik-nik-how-is-the-wannacry-malware-spreading-and-Come).

Poiché questa è attualmente la risposta più votata e le persone potrebbero arrivare su questo sito che non sono amministratori di rete, sarebbe utile includere "non aprire allegati strani" (magari con una breve descrizione di come controllare se un allegato èun eseguibile camuffato da qualcos'altro), in quanto tali cose possono essere alcuni vettori di attacco per le persone che non dispongono di una propria LAN, e possono anche essere il "paziente zero" per una rete più grande.

@Dragomok: Presumibilmente, TSB ha informato Microsoft del problema in anticipo.Il tempismo sembra supportarlo.AFAIK questo è tipico degli hacker con cappello bianco / grigio.

Il bug SMB non è solo un vettore?Avevo l'impressione che venisse inviato via e-mail in massa come il vecchio phishing in modo che tutti tenessero le nonne lontane dall'e-mail.

@tomasz [La NSA ha informato Microsoft del problema in anticipo] (https://arstechnica.com/security/2017/05/fearing-shadow-brokers-leak-nsa-reported-critical-flaw-to-microsoft/) (dopo che EternalBlue è trapelato).

@DeanMacGregor: Perché dovrebbero iniziare a tenere lontane le loro nonne adesso?Non è il primo e certamente non è l'ultimo ransomware in circolazione.Comunque, non penso che le nonne siano bersagli particolarmente buoni per i ransomware.

https://security.stackexchange.com/questions/155769/find-smbv1-status-with-nmap/158896#158896

dark_st3alth

2017-05-14 00:36:12 UTC

view on stackexchange narkive permalink

Il ransomware utilizza un exploit noto e divulgato pubblicamente in SMBv1 (Server Message Block versione 1). È un protocollo a livello di applicazione utilizzato per la condivisione di file e stampanti in un ambiente di rete.

Il protocollo SMBv1 si trova comunemente negli ambienti Windows di rete e include sistemi operativi come Windows XP, Windows 7, 8, 8.1 e 10. Windows Vista e versioni successive consentono l'utilizzo di SMBv1, anche se supportano i protocolli SMBv2 e v3 migliorati.

Gli ambienti che non utilizzano l'implementazione di Microsoft sono improbabile che sia influenzato dall'exploit e dalle relative vulnerabilità. Inoltre, anche quegli ambienti che non supportano SMBv1 non sono interessati.

Puoi disabilitare il supporto SMBv1, secondo le indicazioni di Microsoft: https://support.microsoft .com / kb / 2696547

Coloro che eseguono Windows 8.1 o Windows Server 2012 R2 e versioni successive possono disabilitare il supporto rimuovendo la funzionalità Windows per "Supporto condivisione file SMB1.0 / CIFS".

Esistono sei principali vulnerabilità nell'implementazione di SMBv1 da parte di Microsoft. I primi cinque (e più critici) sono quelli che consentono l'esecuzione di codice arbitrario remoto. L'ultima consente la "divulgazione dei dati". Il ransomware sfrutta le prime cinque vulnerabilità e le sfrutta.

Le misure che gli utenti / le imprese possono adottare per mitigare questo ransomware e altri includono:

Assicurati che i sistemi siano corretti, le vulnerabilità sono stati aggiornati a marzo del 2017.
Conserva un backup recente del tuo sistema o dei dati aziendali / utenti critici.
Utilizza e mantieni una soluzione antivirus
Utilizza uno schema di backup come GFS (Grandfather, father, son).
Rimuovi l'uso o il supporto di SMBv1 (vedi sopra).
Segrega la rete in modo da ridurre l'impatto del danno .
Utilizza una serie diversificata di sistemi e sistemi operativi, se possibile.

Collegamenti Web:

https: // technet. microsoft.com/en-us/library/security/ms17-010.aspx

http://msdn.microsoft.com/en-us/library/aa365233(VS.85).aspx

http: // www. eweek.com/security/wannacry-ransomware-attack-hits-victims-with-microsoft-smb-exploit

SMB è abilitato per impostazione predefinita sulle edizioni Windows personali dei sistemi operativi interessati?

Apparentemente, Windows invia aggiornamenti anche a sistemi non supportati, come XP, Vista e simili

@raphael Sì, SMBv1 è attivo per impostazione predefinita.Consulta la pagina del supporto Microsoft per istruzioni su come disabilitarlo (se non usi la v1, ovviamente).

@LunarWatcher Sì, lo hanno inviato a sistemi non supportati una volta che hanno visto quanti danni stava facendo.

AndyO

2017-05-13 16:27:53 UTC

view on stackexchange narkive permalink

Cisco ha pubblicato un articolo su questo che va più in dettaglio di tutti gli altri che ho visto. I passaggi di base per la prevenzione sono i seguenti:

Assicurati che tutti i sistemi basati su Windows siano completamente corretti. Come minimo, assicurati che sia stato applicato il bollettino Microsoft MS17-010.

In conformità con le best practice note, qualsiasi organizzazione che abbia SMB accessibile pubblicamente tramite Internet (porte 139, 445) dovrebbe bloccare immediatamente il traffico in entrata .

E almeno in base a quel bollettino Microsoft, sembrerebbe che questa sia una vulnerabilità SMBv1, non SMBv2.

Qual è un modo semplice per un utente per verificare se "MS17-010 è stato applicato".sul mio sistema?

Potrebbe non essere la soluzione più elegante dato che si tratta di golf in codice, ma è certamente facile e funziona (ci sono imbattuto per caso io stesso): https://codegolf.stackexchange.com/a/120787

Grazie Andy!È fantastico.Purtroppo, l'aggiornamento non sembra installato sul mio sistema.Eeks !!Pensavo che Win Updates l'avrebbe installato automaticamente.

Esiste un codice golf per installare facilmente anche l'aggiornamento corrispondente? !!

Ed Daniel

2017-05-13 00:25:08 UTC

view on stackexchange narkive permalink

Chi è a rischio? Chiunque utilizzi sistemi operativi elencati nell'annuncio della patch qui: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Come? Il malware può essere distribuito in molti modi, una volta che un endpoint è stato compromesso, l'aspetto "worm" di questo malware sfrutta ms17-010. Quindi, potrebbe fare clic su un collegamento, aprire un archivio che è stato inviato tramite e-mail, ecc. Ecc. https://www.microsoft.com/en-us/security/portal/mmpc/help/infection .aspx

Sembra essere? Mi prendi in giro ;-)

Guardalo diffondersi: https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all

Indicatori di compromissione: https://otx.alienvault.com/pulse/5915d8374da2585a08eaf2f6/

Cerca endpoint vulnerabili (nmap): https: // github .com / cldrn / nmap-nse-scripts / blob / master / scripts / smb-vuln-ms17-010.nse

Buona risposta, qualcosa che potresti aggiungere per gli utenti ordinari che leggono questo e che potrebbero chiedersi cosa dovrebbero fare per proteggersi?

Basta eseguire l'aggiornamento di Windows.

@tbodt sfortunatamente non funzionerà per le persone che eseguono cose come Windows XP.Nel solito caso non otterrebbero patch ma MS ne ha rilasciata una per questo https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ tuttavia è uno specificoaggiornamento che deve essere scaricato.

Credo che questa sia una non risposta secondo [La tua risposta è in un altro castello: quando una risposta non è una risposta?] (Https://meta.stackexchange.com/q/225370/157730) Fondamentalmente, prova a leggere questoma ignora i collegamenti;quanto impari da esso?(Molto poco, IMO.) Considera l'idea di incorporare i dettagli importanti delle pagine collegate nella risposta stessa, in modo che questa risposta rimanga valida anche se quelle pagine vengono modificate o diventano non disponibili in futuro.

in tal caso, procurati una versione moderna di Windows e quindi esegui Windows Update.

@tbodt che non è sempre possibile (soprattutto in ambienti aziendali)

“Chi è a rischio?Chiunque utilizzi sistemi operativi elencati nell'annuncio della patch qui "e se fossi l'unico nella tua rete locale?Il worm deve provenire da qualche parte.

Soufiane Tahiri

2017-05-15 16:48:04 UTC

view on stackexchange narkive permalink

È anche importante sapere che esistono nuove varianti di Wannacry (soprannominato Wannacry v2) che si ritiene non provengano dagli stessi autori.

In che modo questo malware compromette i sistemi:

Innanzitutto crea e imposta le seguenti voci di registro:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ "Microsoft Updates Task Scheduler" = "" [ PATH_TO_RANSOMEWARE] [TRANSOMEWARE_EXE_NAME] "/ r"
HKEY_LOCAL_MACHINE \ SOFTWARE \ WannaCryptor \ "wd" = "[PATH_TO_RANSOMEWARE]"
HKEY_CURRENT_USER \ Pannello di controllo \ Desktop \ Wallpaper " % UserProfile% \ Desktop! WannaCryptor! .Bmp "

WannaCry crea quindi i seguenti mutex:

Global \ WINDOWS_TASKOSHT_MUTEX0
LGlobal \ WINDOWS_TASKCST_MUTEX

Dopodiché, termina i seguenti processi utilizzando taskkill / f / im :

sqlwriter.exe
sqlserver.exe
Microsoft.Exchange. *
MSExchange *

WannaCry inizia a cercare, crittografare e aggiungendo .WCRY alla fine dei nomi di file dei seguenti formati di file:

.123
.3dm
.3ds
.3g2
.3gp
.602
.7z
.ARC
.PAQ
.accdb
.aes
.ai
.asc
.asf
.asm
.asp
.avi
.backup
.bak
.bat
.bmp
.brd
.bz2
.cgm
.class
.cmd
.cpp
.crt
.cs
.csr
.csv
.db
.dbf
.dch
.der
.dif
.dip
.djvu
.doc
.docb
.docm
.docx
.dot
.dotm
.dotx
.dwg
.edb
.eml
.fla
.flv
.frm
.gif
.gpg
.gz
.hwp
.ibd
.iso
.jar
.java
.jpeg
.jpg
.js
.jsp
.key
.lay
.lay6
.ldf
.m3u
.m4u
.max
.mdb
.mdf
.mid
.mkv
.mml
.mov
.mp3
.mp4
.mpeg
.mpg
.msg
.myd
.myi
.nef
.odb
.odg
.odp
.ods
.odt
.onetoc2
.ost
.otg
.otp
.ots
.ott
.p12
.pas
.pdf
.pem
.pfx
.php
.pl
.png
.pot
.potm
.potx
.ppam
.pps
.ppsm
.ppsx
.ppt
.pptm
.pptx
.ps1
.psd
.pst
.rar
.raw
.rb
.rtf
.sch
.sh
.sldm
.sldx
.slk
.sln
.snt
.sql
.sqlite3
.sqlitedb
.stc
.std
.sti
.stw
.suo
.svg
.swf
.sxc
.sxd
.sxi
.sxm
.sxw
.tar
.tbk
.tgz
.tif
.tiff
.txt
.uop
.uot
.vb
.vbs
.vcd
.vdi
.vmdk
.vmx
.vob
.vsd
.vsdx
.wav
.wb2
.wk1
.wks
.wma
.wmv
.xlc
.xlm
.xls
.xlsb
.xlsm
.xlsx
.xlt
.xltm
.xltx
.xlw
.zip

Per la prevenzione Nik ti ha dato tutto quello che devi sapere ma aggiungo che y Dovresti provare a bloccare le connessioni in entrata sulla porta 445 / TCP. Assicurati di non bloccare il seguente dominio sinkhole, poiché si tratta del kill switch trovato nel binario di Wannacry v1:

  hxxp: // www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com

Spero che aiuti.

IAmBarry

2017-05-15 19:44:54 UTC

view on stackexchange narkive permalink

Sembra essere un attacco di phishing / ransomware standard, ma si sta anche diffondendo come un worm una volta che entra in una rete di destinazione.

I server Windows sono in genere dietro i firewall che non superano SMB. Una volta che la prima macchina su una rete protetta è stata infettata, il worm propaga l'attacco utilizzando l'exploit SMB indicato sopra.

Vorrei avere conferma sul lato phishing dell'attacco. Microsoft (fino a due giorni fa) non aveva ancora informazioni sulla compromissione iniziale:

Non abbiamo trovato prove dell'esatto vettore di ingresso iniziale utilizzato da questa minaccia, ma ce ne sono due scenari che riteniamo siano spiegazioni altamente possibili per la diffusione di questo ransomware:

arrivo tramite email di ingegneria sociale progettate per indurre gli utenti a eseguire il malware e attivare la funzionalità di diffusione di worm con l'exploit SMB Infezione tramite exploit SMB quando un computer senza patch è indirizzabile da altre macchine infette ( https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/)

[Modifica] Ho appena visto che Forbes non pensa che il phishing sia una componente importante di questo attacco. vedi https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#37038021e599:

"... è improbabile che le e-mail di phishing fossero il metodo di infezione principale, dato che pochi hanno condiviso e-mail allacciate al malware. La divisione Talos di Cisco non crede che siano state utilizzate e-mail di phishing ..."

In questo modo i server non protetti con porte SMB sarebbero esposti a Internet aperto come vettore di infezione principale. Ciò potrebbe spiegare alcuni degli obiettivi di alto profilo segnalati che hanno reti ampiamente diffuse (FedEx, NHS, ecc.). Ci vorrebbe solo un computer non esposto che sia connesso anche a una rete più ampia per avviare un'infezione.

sembra più un commento che una risposta

Anche la domanda è un'affermazione, quindi penso sia giusto rispondere confutando la certezza delle affermazioni di phishing e l'efficacia del solo vettore SMBv1.

I nostri feed InfoSec privati riportano i dettagli di alcuni attacchi di phishing.Non riesco a trovare alcuna informazione pubblica, ma sembra che abbia un vettore di phishing.Controlla i tuoi fornitori.

Ho fatto molte ricerche, ma non si intravedono messaggi di posta elettronica collegati a wannacry.Picchiami se sbaglio, ma per me la ricerca di questo vettore di infezione è finita.Non c'è niente quindi "Ho sentito che qualcuno ha detto, ha ricevuto una mail del genere".In effetti sono registrato su stackexchange perché ci sono utenti su askubuntu che affermano di avere messaggi di phishing wannacry.Dopo due giorni di comunicazione potrei dire con certezza: non ce l'hanno.E nessun altro.Guarda anche qui: https://nakedsecurity.sophos.com/2017/05/17/wannacry-the-ransomware-worm-that-didnt-arrive-on-a-phishing-hook/

WinEunuuchs2Unix

2017-05-17 05:55:20 UTC

view on stackexchange narkive permalink

NHS era destinato a essere il primo ad essere colpito

Ci sono molte ottime risposte qui, ma questa risposta è illuminante visti gli eventi recenti. Il 18 gennaio 2017 US-Cert ha esortato gli amministratori a disattivare il firewall SMBv1, ma i commenti su questa storia dicono che l'unico motivo per cui il supporto di Windows XP è ancora disponibile è perché l'NHS (National Health Services del Regno Unito che è stato chiuso venerdì 12 maggio) paga M $ tonnellate di contanti per mantenerlo in vita.

Un link per tutti supporta le versioni vulnerabili di Windows

Se hai un vecchio laptop di backup di Windows Vista come me, tu potrebbero essere interessati a KB4012598 per Windows 8, XP, Vista, Server 2008 e Server 2003, che sono equivalenti al tanto chiacchierato MS17-010 . Si tratta di patch manuali per versioni di Windows EOL (End of Life) non supportate e aggiornamenti automatici. Microsoft ha compiuto il passo straordinario di rilasciare queste patch nelle ultime 48 ore.

Anche gli utenti Linux possono essere interessati

Se ci sono utenti Linux che stanno leggendo questa risposta, vorrei sottolineare vulnerabilità discusse in Ask Ubuntu su questa Domanda che ho pubblicato.

Dettagli tecnici non elencati in altre risposte

Questo articolo discute il blocco porte specifiche e disabilitando SMBv1 e SMBv2 a favore di SMBv3. Parte dell'articolo afferma che l ' FBI dice che non dovresti pagare i criminali per riavere i tuoi dati, ma in tutta onestà pagherei 300 dollari per riavere la mia vita.

Spettrale coincidenze

Gli Shadow Brokers hanno guadagnato finora 31mila dollari secondo un articolo di oggi. Fatto interessante il nome è apparso per la prima volta (AFAIK) come un gruppo immaginario che ruotava e si occupava di segreti in un videogioco di fantascienza inventato a Edmonton circa 10 anni fa. Secondo fatto interessante, fanno pagare $ 300 per sbloccare i dati riscattati e io addebitavo $ 300 per la riparazione dei dati di GL, AR, IC, PR, ecc. Detto questo, dubito fortemente che gli Shadow Brokers abbiano sede a Edmonton, dove vivo.

La versione due è disponibile e il kill switch non funzionerà

La creazione del sito web http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/ che funziona come kill-switch per Si dice che il ransomware sia stato ostacolato da una nuova versione di "Wanna Cry". Non ho letto molti articoli che lo confermino, ma in ogni caso i fori SMBv1 e SMBv2 dovrebbero essere tappati. Le persone non dovrebbero fare affidamento sul kill-switch che funziona con le future versioni di "Wanna Cry" o su qualsiasi nuovo malware / ransomware che utilizzi il loop-hole.

Se ti chiedi cosa dice benignamente il sito web del kill-switch, è:

sinkhole.tech - dove i robot fanno festa e i ricercatori più duramente ...

Teorie del complotto di Microsoft

Quelle che non credono nelle cospirazioni possono premere il pulsante Indietro. La NSA e Microsoft sapevano che questo sarebbe accaduto secondo questo articolo che circolava una petizione che chiedeva di sapere cosa sapeva Microsoft, quando, dove e come. Le accuse si basano sui tempi di Shadow Brokers, NSA che è stato violato e sugli aggiornamenti di sicurezza di MS.

NHS non è l'unica azienda a mantenere in vita il supporto XP, altre grandi aziende pagano milioni ... IMO è un'idea terribile, dovrebbero invece investire nell'aggiornamento del loro sistema!

dr_

2017-05-16 19:39:08 UTC

view on stackexchange narkive permalink

Oltre alle risposte precedenti, che menzionano solo Windows, e poiché c'è una domanda chiusa " WannaCry infetta Linux?" che punta a questa, vorrei aggiungere che Linux anche le macchine possono essere infettate se eseguono Wine: https://twitter.com/hackerfantastic/status/863359375787925505

La vera domanda è: perché funziona? _!

symcbean

2017-05-15 16:44:10 UTC

view on stackexchange narkive permalink

Sebbene l'installazione delle patch del fornitore sia sempre una buona idea, vale anche la pena notare che il malware effettua un controllo DNS all'attivazione. Ho visto un dominio segnalato:

  www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Ma è probabile che ce ne sia di più. Quindi dovrebbe essere possibile monitorare la tua rete per nuove infezioni usando qualcosa di simile (su una macchina Linux / Unix) che verifica una stringa molto lunga come componente di dominio in una query DNS:

  tcpdump -K dst porta 53 | awk "$ 8 ~ /[^\.”{20,}/ {print $ 0; } "

(non testato: YMMV)

Poiché il controllo DNS è stato la causa della sconfitta del primo ceppo, sembra probabile che i ceppi successivi non lo avranno.

Sembra abbastanza simile a [qualcosa che Chrome fa quando si avvia] (// unix.stackexchange.com/q/363512).La differenza qui è che le richieste di Chrome riguardano nomi host non qualificati, non nomi ".com".

Questi ragazzi hanno una versione migliore di questa metodologia: https://www.youtube.com/watch?v=ZNas6BmbRvo

usr-local-ΕΨΗΕΛΩΝ

2017-05-19 19:40:12 UTC

view on stackexchange narkive permalink

Risponderò alla parte "come proteggere" in modo un po 'conciso

0. Agisci rapidamente

Il malware si sta ancora diffondendo. Se il tuo sistema non è protetto, la sua durata rimanente viene conteggiata in ore

1. Assicurati di eseguire gli aggiornamenti di sistema richiesti

Microsoft ha già rilasciato patch per tutte le versioni di Windows in manutenzione. Forse Windows ME non è stato patchato, altrimenti vai al n. 4

2. Backup

Puoi difendere la tua infrastruttura da qualsiasi ransomware, o almeno limitarne i danni, applicando una valida policy di backup. Il backup su una macchina vulnerabile non ha senso in questa situazione. La sincronizzazione con il cloud può essere pericolosa

3. Firewall te stesso dall'esterno

Sia che tu sia un utente domestico o una grande azienda, devi sempre applicare la regola pratica del firewall: disabilita tutto tranne i servizi che stai effettivamente eseguendo.

Stai eseguendo un'applicazione web? Apri solo le porte 80/443. Esegui Torrent a casa? Usa upnp o scegli le tue porte da aprire sul tuo modem.

Non usare DMZ. Se hai davvero bisogno di SMB devi pensarci attentamente. Discutere su ServerFault può essere utile.

4. Air gap o vecchie macchine con firewall forte

Se possiedi un sistema legacy che è veramente critico per l'azienda e non può essere aggiornato in breve tempo, considera l'air-gap. La virtualizzazione di una vecchia versione di Windows è inutile perché il malware può diffondersi sulla tua rete di macchine obsolete. Se non riesci a installare il firewall e / o disabilitare completamente SMB, l'ultima opzione è rimuovere il cavo di rete finché non trovi una soluzione migliore