lunes, 15 de mayo de 2017

WanaCrypt0r



WanaCrypt0r

Algo que muchos investigadores de seguridad han temido, se ha hecho realidad. actores de amenazas han integrado una crítica exploit aprovechando un protocolo de comunicación popular usado por los sistemas Windows, paralizando a miles de computadoras en todo el mundo con ransomware.
A las pocas horas de haber sido aprovechado, un defecto que había sido recientemente parcheada por Microsoft se ha utilizado para distribuir el ransomware WanaCrypt0r y causar estragos en todo el mundo .
En esta entrada del blog, vamos a describir el gusano responsable de la difusión de este ransomware examinado sus capacidades y lo que ha hecho que esta amenaza de manera exitosa.
funcionalidad principal
WanaCrypt0r ha sido más efectivo-no sólo el bucle ransomware a través de cada sesión RDP abierta en un sistema y ejecutar el ransomware como ese usuario, pero el componente inicial que consigue cayó en los sistemas que parece ser un gusano que contiene y ejecuta el ransomware, la difusión a sí mismo usando la ETERNALBLUE vulnerabilidad SMB ( MS17-010 ).
El WinMainde este ejecutable primero intenta conectarse al sitio web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. En realidad, no descargar nada allí, sólo intenta conectarse. Si la conexión se realiza correctamente, las salidas binarias.
Esto era probablemente una especie de interruptor de la matanza o la técnica anti-caja de arena. Sea lo que sea, se ha vuelto contra los autores del gusano, ya que el dominio ha sido sinkholed y el host en cuestión ahora resuelve en una dirección IP que aloja una página web. Por lo tanto, nada va a pasar en cualquier nuevo sistema que ejecuta el ejecutable. Esto sólo se aplica al binario con el hash mencionados anteriormente; bien puede haber nuevas versiones liberadas en el futuro. ACTUALIZACIÓN: El segundo argumento es InternetOpenA 1 (INTERNET_OPEN_TYPE_DIRECT), por lo que el gusano todavía funcionará en cualquier sistema que requiere un proxy para acceder a Internet, lo cual es el caso en la mayoría de las redes corporativas. Gracias a Didier Stevens para detectar lo que se perdió por la mayoría.

Después pasa esta comprobación, el primero que el gusano hace es comprobar el número de argumentos que se puso en marcha con. Si se ejecuta con menos de dos argumentos pasados, se instala un servicio llamado mssecsvc2.0 con el nombre de visualización Microsoft Security Center (2.0) Service (donde la RAN binario es en sí con dos argumentos), comienza ese servicio, cae el binario ransomware se encuentra en los recursos del gusano, y lo ejecuta .
Si fue ejecutado con dos o más argumentos, en otras palabras, si se ejecuta como un servicio de ejecución finalmente cae a través de la función de gusano.

La función de inicialización llamado primero llama WSAStartup()para inicializar la creación de redes, a continuación, CryptAcquireContext()para inicializar la API de cifrado para que pueda utilizar un generador de números pseudoaleatorios criptográficamente seguro. A continuación, llama a una función que inicializa dos tampones utilizados para almacenar los archivos DLL de carga útil del gusano, uno x86 y x64 uno. Copia los archivos DLL de carga útil de la .datasección del gusano y luego copia toda la binarias gusano después de ella.

El código de cada archivo DLL de carga útil es muy pequeño, sólo conseguir el contenido de recursos (es decir, el gusano binario), cayendo en el disco como C:\WINDOWS\mssecsvc.exe(este camino es en realidad codificado) y ejecutarlo.

la vulnerabilidad SMB
Después de inicializar la funcionalidad utilizada por el gusano, se crean dos hilos. El primer hilo escanea los hosts en la LAN. El segundo hilo se crea 128 veces y escanea hosts de Internet en general.
El primer hilo (a cargo de la exploración LAN) utiliza GetAdaptersInfo()para obtener una lista de rangos de IP en la red local, a continuación, crea una matriz de todos los rangos de IP en aquellos que deben analizarse.

El escaneo de LAN es multiproceso en sí, y no hay código para evitar el escaneo de más de 10 direcciones IP de la LAN a la vez.

El hilo de exploración intenta conectarse al puerto 445, y si es así crea un nuevo hilo para tratar de explotar el sistema utilizando MS17-010 / EternalBlue. Si los intentos de explotación durar más de 10 minutos, a continuación, el hilo de la explotación se detiene.

Los hilos que escanean Internet generan una dirección IP al azar, utilizando el generador del sistema operativo criptográficamente seguro pseudo-aleatorio número inicializado antes, o un generador de números pseudo-aleatorios más débil si el CSPRNG no se puede inicializar. Si tiene éxito la conexión al puerto 445 en esa dirección IP al azar, toda la /24 gama se escanea, y si el puerto 445 está abierto, explotar se hacen intentos. Esta vez, tiempo de espera de explotación para cada IP no sucede después de 10 minutos, pero después de una hora.


El hilo explotación intenta varias veces para explotar, con dos conjuntos diferentes de tampones utilizados (tal vez una para x86 y una para x64). Si se detecta la presencia de DOUBLEPULSAR después de cualquier intento de explotación, se utiliza DOUBLEPULSAR para cargar la DLL de carga útil correspondiente.

Proteccion
Es fundamental que instale todas las actualizaciones del sistema operativo disponibles para evitar el conseguir explotada por la vulnerabilidad MS17-010. Cualquier sistema que ejecuta una versión de Windows que no recibieron un parche para esta vulnerabilidad deben ser retirados de todas las redes. Si se han visto afectados sus sistemas, DOUBLEPULSAR tendrá también ha instalado, por lo que este también tendrá que ser eliminado. Una secuencia de comandos está disponible que remotamente se puede detectar y eliminar la DOUBLEPULSAR puerta trasera. Consumidores y empresas clientes de Malwarebytes están protegidos de este ransomware por la versión Sophos Intercept X
Sophos Intercept X añade tecnologías de última generación sin rmas a su sistema actual de seguridad endpoint para ofrecerle una protección multinivel completa.

Proteja el software vulnerable
La tecnología contra vulnerabilidades de seguridad detiene las amenazas antes de que supongan un problema: reconoce y bloquea los métodos habituales para introducir programas maliciosos, garantizando así la protección de sus endpoints contra amenazas desconocidas y vulnerabilidades de día cero.
Detección e caz de ransomware
La tecnología CryptoGuard detecta el cifrado espontáneo de datos maliciosos para detener en seco el avance de ransomware. Aunque se exploten o secuestren archivos o procesos de con anza, Sophos Endpoint Protection los detendrá y restituirá sin ninguna interacción por parte del usuario o del personal de soporte informático. CryptoGuard trabaja de forma silenciosa a nivel del sistema de archivos, haciendo un seguimiento de los equipos remotos y procesos locales que intentan modi car los documentos y otros archivos.
Análisis de causa raíz
Identi car los programas maliciosos y aislarlos y eliminarlos resuelve el problema inmediato. Pero, ¿sabe realmente lo que ha hecho el malware antes de eliminarlo,
o cómo se introdujo en primer lugar? El análisis de causa raíz le muestra todos los eventos que llevan a una detección. Podrá comprender qué archivos, procesos y claves de registro ha tocado el malware y activar la limpieza del sistema en profundidad para retroceder en el tiempo.
Añada protección de última generación a su seguridad tradicional
Sophos Intercept X complementa las implementaciones antivirus y anti-malware existentes con una potente protección de última generación contra vulnerabilidades de seguridad y ransomware de la que carecen los productos tradicionales. Al eliminar los vectores de ataque que las soluciones tradicionales no bloquean, Sophos Intercept X ayuda a reforzar el nivel de seguridad y aumentar la resiliencia.

Intercept X
Implementación y gestión simpli cadas
Administrar su seguridad desde Sophos Central signi ca que ya no tendrá que instalar o desplegar servidores para proteger sus endpoints. Sophos Central ofrece políticas predeterminadas y con guraciones recomendadas para garantizar que obtiene la protección más e caz desde el primer día.


Especi caciones técnicas
Sophos Intercept X admite Windows 7 y posterior, de 32
y 64 bits. Puede ejecutarse junto a Sophos Endpoint Protection Advanced, si se administra con Sophos Central. También puede ejecutarse en paralelo a soluciones antivirus y enpoint de terceros para añadir protección contra vulnerabilidades y ransomware y el análisis de causa raíz.


Cuatro pasos para lograr la protección
1. comuníquese con nosotros para comenzar su evaluación.
2. Cree una cuenta de administrador de Sophos Central.
3. Descargue e instale el agente de Intercept X.
4. Administre su protección a través de Sophos Central.
Como recomendación general, conviene que estés pendiente de los resultados que te ofrecen estas herramientas de seguridad informática para empresas y que lo hagas de forma periódica, ya que cualquier precaución es poca ante las ciberamenazas.

¿Necesitas ampliar información y claves sobre seguridad informática? consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio, tanto a nivel de usuario como desde el punto de vista de empresa, mejorar la seguridad de tus equipos y dispositivos móviles.

Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330

Visitemos en: www.seguridadamerica.com


Fuente: https://www.sophos.com/es-es/products/intercept-x.aspx
·    





No hay comentarios.:

Publicar un comentario

Populares