WanaCrypt0r
WanaCrypt0r
Algo que muchos
investigadores de seguridad han temido, se ha hecho realidad. actores de
amenazas han integrado una crítica exploit aprovechando un protocolo de
comunicación popular usado por los sistemas Windows, paralizando a miles de
computadoras en todo el mundo con ransomware.
A las pocas horas de haber sido aprovechado, un
defecto que había sido recientemente parcheada por Microsoft se ha utilizado
para distribuir el ransomware WanaCrypt0r y causar estragos en todo el
mundo .
En esta entrada del blog, vamos a describir el
gusano responsable de la difusión de este ransomware examinado sus capacidades
y lo que ha hecho que esta amenaza de manera exitosa.
funcionalidad
principal
WanaCrypt0r ha sido más efectivo-no sólo el bucle
ransomware a través de cada sesión RDP abierta en un sistema y ejecutar el
ransomware como ese usuario, pero el componente inicial que consigue cayó en
los sistemas que parece ser un gusano que contiene y ejecuta el ransomware, la
difusión a sí mismo usando la ETERNALBLUE vulnerabilidad SMB ( MS17-010 ).
El WinMainde este ejecutable primero intenta
conectarse al sitio web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. En realidad, no descargar nada allí, sólo
intenta conectarse. Si la conexión se realiza correctamente, las salidas
binarias.
Esto era probablemente una especie de interruptor
de la matanza o la técnica anti-caja de arena. Sea lo que sea, se ha
vuelto contra los autores del gusano, ya que el dominio ha sido sinkholed y el
host en cuestión ahora resuelve en una dirección IP que aloja una página web. Por
lo tanto, nada va a pasar en cualquier nuevo sistema que ejecuta el ejecutable. Esto
sólo se aplica al binario con el hash mencionados anteriormente; bien
puede haber nuevas versiones liberadas en el futuro. ACTUALIZACIÓN: El
segundo argumento es InternetOpenA 1 (INTERNET_OPEN_TYPE_DIRECT), por lo que el
gusano todavía funcionará en cualquier sistema que requiere un proxy para
acceder a Internet, lo cual es el caso en la mayoría de las redes corporativas. Gracias
a Didier Stevens para detectar lo que se perdió por la mayoría.
Después pasa esta comprobación, el primero que el
gusano hace es comprobar el número de argumentos que se puso en marcha con. Si
se ejecuta con menos de dos argumentos pasados, se instala un servicio llamado mssecsvc2.0 con el nombre de visualización Microsoft Security Center (2.0) Service (donde la RAN
binario es en sí con dos argumentos), comienza ese servicio, cae el binario
ransomware se encuentra en los recursos del gusano, y lo ejecuta .
Si fue ejecutado con dos o más argumentos, en
otras palabras, si se ejecuta como un servicio de ejecución finalmente cae a
través de la función de gusano.
La función de inicialización llamado primero
llama WSAStartup()para inicializar
la creación de redes, a continuación, CryptAcquireContext()para inicializar
la API de cifrado para que pueda utilizar un generador de números
pseudoaleatorios criptográficamente seguro. A continuación, llama a una
función que inicializa dos tampones utilizados para almacenar los archivos DLL
de carga útil del gusano, uno x86 y x64 uno. Copia los archivos DLL de
carga útil de la .datasección del gusano y luego copia toda la binarias
gusano después de ella.
El código de cada archivo DLL de carga útil es
muy pequeño, sólo conseguir el contenido de recursos (es decir, el gusano
binario), cayendo en el disco como C:\WINDOWS\mssecsvc.exe(este camino es
en realidad codificado) y ejecutarlo.
la
vulnerabilidad SMB
Después de inicializar la funcionalidad utilizada
por el gusano, se crean dos hilos. El primer hilo escanea los hosts en la
LAN. El segundo hilo se crea 128 veces y escanea hosts de Internet en
general.
El primer hilo (a cargo de la exploración LAN)
utiliza GetAdaptersInfo()para obtener una
lista de rangos de IP en la red local, a continuación, crea una matriz de todos
los rangos de IP en aquellos que deben analizarse.
El escaneo de LAN es multiproceso en sí, y no hay
código para evitar el escaneo de más de 10 direcciones IP de la LAN a la vez.
El hilo de exploración intenta conectarse al
puerto 445, y si es así crea un nuevo hilo para tratar de explotar el sistema
utilizando MS17-010 / EternalBlue. Si los intentos de explotación durar
más de 10 minutos, a continuación, el hilo de la explotación se detiene.
Los hilos que escanean Internet generan una
dirección IP al azar, utilizando el generador del sistema operativo
criptográficamente seguro pseudo-aleatorio número inicializado antes, o un
generador de números pseudo-aleatorios más débil si el CSPRNG no se puede
inicializar. Si tiene éxito la conexión al puerto 445 en esa dirección IP
al azar, toda la /24 gama se escanea,
y si el puerto 445 está abierto, explotar se hacen intentos. Esta vez,
tiempo de espera de explotación para cada IP no sucede después de 10 minutos,
pero después de una hora.
El hilo explotación intenta varias veces para
explotar, con dos conjuntos diferentes de tampones utilizados (tal vez una para
x86 y una para x64). Si se detecta la presencia de DOUBLEPULSAR después de cualquier intento de explotación, se
utiliza DOUBLEPULSAR para cargar la
DLL de carga útil correspondiente.
Proteccion
Es fundamental que instale todas
las actualizaciones del sistema operativo disponibles para evitar el conseguir
explotada por la vulnerabilidad MS17-010. Cualquier sistema que ejecuta
una versión de Windows que no recibieron un parche para esta vulnerabilidad
deben ser retirados de todas las redes. Si se han visto afectados sus
sistemas, DOUBLEPULSAR tendrá también
ha instalado, por lo que este también tendrá que ser eliminado. Una
secuencia de comandos está disponible que remotamente se puede detectar y
eliminar la DOUBLEPULSAR puerta trasera. Consumidores
y empresas clientes de Malwarebytes están protegidos de este ransomware por la
versión Sophos Intercept X
Sophos Intercept X añade tecnologías
de última generación sin rmas a su sistema actual de seguridad endpoint para
ofrecerle una protección multinivel completa.
Proteja el software vulnerable
La tecnología contra vulnerabilidades
de seguridad detiene las amenazas antes de que supongan un problema: reconoce y
bloquea los métodos habituales para introducir programas maliciosos,
garantizando así la protección de sus endpoints contra amenazas desconocidas
y vulnerabilidades de día cero.
Detección e caz de ransomware
La tecnología CryptoGuard detecta el
cifrado espontáneo de datos maliciosos para detener en seco el avance de
ransomware. Aunque se exploten o secuestren archivos o procesos de con anza,
Sophos Endpoint Protection los detendrá y restituirá sin ninguna interacción
por parte del usuario o del personal de soporte informático. CryptoGuard
trabaja de forma silenciosa a nivel del sistema de archivos, haciendo un
seguimiento de los equipos remotos y procesos locales que intentan modi car los
documentos y otros archivos.
Análisis de causa raíz
Identi car los programas maliciosos y
aislarlos y eliminarlos resuelve el problema inmediato. Pero, ¿sabe realmente
lo que ha hecho el malware antes de eliminarlo,
o cómo se introdujo en primer lugar?
El análisis de causa raíz le muestra todos los eventos que llevan a una
detección. Podrá comprender qué archivos, procesos y claves de registro ha
tocado el malware y activar la limpieza del sistema en profundidad para
retroceder en el tiempo.
Añada protección de última
generación a su seguridad tradicional
Sophos Intercept X complementa las
implementaciones antivirus y anti-malware existentes con una potente
protección de última generación contra vulnerabilidades de seguridad y
ransomware de la que carecen los productos tradicionales. Al eliminar los
vectores de ataque que las soluciones tradicionales no bloquean, Sophos
Intercept X ayuda a reforzar el nivel de seguridad y aumentar la resiliencia.
Intercept X
Implementación y gestión simpli
cadas
Administrar su seguridad desde Sophos
Central signi ca que ya no tendrá que instalar o desplegar servidores para
proteger sus endpoints. Sophos Central ofrece políticas predeterminadas y con
guraciones recomendadas para garantizar que obtiene la protección más e caz
desde el primer día.
Especi caciones técnicas
Sophos Intercept X admite Windows 7 y
posterior, de 32
y 64 bits. Puede ejecutarse junto a
Sophos Endpoint Protection Advanced, si se administra con Sophos Central.
También puede ejecutarse en paralelo a soluciones antivirus y enpoint de
terceros para añadir protección contra vulnerabilidades y ransomware y el
análisis de causa raíz.
Cuatro pasos para lograr la protección
1. comuníquese con nosotros para
comenzar su evaluación.
2. Cree una cuenta de administrador de
Sophos Central.
3. Descargue e instale el agente de
Intercept X.
4. Administre su protección a través
de Sophos Central.
Como recomendación general, conviene
que estés pendiente de los resultados que te ofrecen estas herramientas de
seguridad informática para empresas y que lo hagas de forma periódica, ya que
cualquier precaución es poca ante las ciberamenazas.
¿Necesitas ampliar información y
claves sobre seguridad informática? consulte con los ingenieros de Seguridad
America o con sus Expertos comerciales que lo asesoraran en la mejor opción
para su modelo de negocio, tanto a nivel de usuario como desde el punto de
vista de empresa, mejorar la seguridad de tus equipos y dispositivos móviles.
Contáctanos en:
Mail:
ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330
Visitemos en: www.seguridadamerica.com
Fuente: https://www.sophos.com/es-es/products/intercept-x.aspx
·
Comentarios
Publicar un comentario