WanaCrypt0r

-


WanaCrypt0r

Algo que muchos investigadores de seguridad han temido, se ha hecho realidad. actores de amenazas han integrado una crítica exploit aprovechando un protocolo de comunicación popular usado por los sistemas Windows, paralizando a miles de computadoras en todo el mundo con ransomware.
A las pocas horas de haber sido aprovechado, un defecto que había sido recientemente parcheada por Microsoft se ha utilizado para distribuir el ransomware WanaCrypt0r y causar estragos en todo el mundo .
En esta entrada del blog, vamos a describir el gusano responsable de la difusión de este ransomware examinado sus capacidades y lo que ha hecho que esta amenaza de manera exitosa.
funcionalidad principal
WanaCrypt0r ha sido más efectivo-no sólo el bucle ransomware a través de cada sesión RDP abierta en un sistema y ejecutar el ransomware como ese usuario, pero el componente inicial que consigue cayó en los sistemas que parece ser un gusano que contiene y ejecuta el ransomware, la difusión a sí mismo usando la ETERNALBLUE vulnerabilidad SMB ( MS17-010 ).
El WinMainde este ejecutable primero intenta conectarse al sitio web www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. En realidad, no descargar nada allí, sólo intenta conectarse. Si la conexión se realiza correctamente, las salidas binarias.
Esto era probablemente una especie de interruptor de la matanza o la técnica anti-caja de arena. Sea lo que sea, se ha vuelto contra los autores del gusano, ya que el dominio ha sido sinkholed y el host en cuestión ahora resuelve en una dirección IP que aloja una página web. Por lo tanto, nada va a pasar en cualquier nuevo sistema que ejecuta el ejecutable. Esto sólo se aplica al binario con el hash mencionados anteriormente; bien puede haber nuevas versiones liberadas en el futuro. ACTUALIZACIÓN: El segundo argumento es InternetOpenA 1 (INTERNET_OPEN_TYPE_DIRECT), por lo que el gusano todavía funcionará en cualquier sistema que requiere un proxy para acceder a Internet, lo cual es el caso en la mayoría de las redes corporativas. Gracias a Didier Stevens para detectar lo que se perdió por la mayoría.

Después pasa esta comprobación, el primero que el gusano hace es comprobar el número de argumentos que se puso en marcha con. Si se ejecuta con menos de dos argumentos pasados, se instala un servicio llamado mssecsvc2.0 con el nombre de visualización Microsoft Security Center (2.0) Service (donde la RAN binario es en sí con dos argumentos), comienza ese servicio, cae el binario ransomware se encuentra en los recursos del gusano, y lo ejecuta .
Si fue ejecutado con dos o más argumentos, en otras palabras, si se ejecuta como un servicio de ejecución finalmente cae a través de la función de gusano.

La función de inicialización llamado primero llama WSAStartup()para inicializar la creación de redes, a continuación, CryptAcquireContext()para inicializar la API de cifrado para que pueda utilizar un generador de números pseudoaleatorios criptográficamente seguro. A continuación, llama a una función que inicializa dos tampones utilizados para almacenar los archivos DLL de carga útil del gusano, uno x86 y x64 uno. Copia los archivos DLL de carga útil de la .datasección del gusano y luego copia toda la binarias gusano después de ella.

El código de cada archivo DLL de carga útil es muy pequeño, sólo conseguir el contenido de recursos (es decir, el gusano binario), cayendo en el disco como C:\WINDOWS\mssecsvc.exe(este camino es en realidad codificado) y ejecutarlo.

la vulnerabilidad SMB
Después de inicializar la funcionalidad utilizada por el gusano, se crean dos hilos. El primer hilo escanea los hosts en la LAN. El segundo hilo se crea 128 veces y escanea hosts de Internet en general.
El primer hilo (a cargo de la exploración LAN) utiliza GetAdaptersInfo()para obtener una lista de rangos de IP en la red local, a continuación, crea una matriz de todos los rangos de IP en aquellos que deben analizarse.

El escaneo de LAN es multiproceso en sí, y no hay código para evitar el escaneo de más de 10 direcciones IP de la LAN a la vez.

El hilo de exploración intenta conectarse al puerto 445, y si es así crea un nuevo hilo para tratar de explotar el sistema utilizando MS17-010 / EternalBlue. Si los intentos de explotación durar más de 10 minutos, a continuación, el hilo de la explotación se detiene.

Los hilos que escanean Internet generan una dirección IP al azar, utilizando el generador del sistema operativo criptográficamente seguro pseudo-aleatorio número inicializado antes, o un generador de números pseudo-aleatorios más débil si el CSPRNG no se puede inicializar. Si tiene éxito la conexión al puerto 445 en esa dirección IP al azar, toda la /24 gama se escanea, y si el puerto 445 está abierto, explotar se hacen intentos. Esta vez, tiempo de espera de explotación para cada IP no sucede después de 10 minutos, pero después de una hora.


El hilo explotación intenta varias veces para explotar, con dos conjuntos diferentes de tampones utilizados (tal vez una para x86 y una para x64). Si se detecta la presencia de DOUBLEPULSAR después de cualquier intento de explotación, se utiliza DOUBLEPULSAR para cargar la DLL de carga útil correspondiente.

Proteccion
Es fundamental que instale todas las actualizaciones del sistema operativo disponibles para evitar el conseguir explotada por la vulnerabilidad MS17-010. Cualquier sistema que ejecuta una versión de Windows que no recibieron un parche para esta vulnerabilidad deben ser retirados de todas las redes. Si se han visto afectados sus sistemas, DOUBLEPULSAR tendrá también ha instalado, por lo que este también tendrá que ser eliminado. Una secuencia de comandos está disponible que remotamente se puede detectar y eliminar la DOUBLEPULSAR puerta trasera. Consumidores y empresas clientes de Malwarebytes están protegidos de este ransomware por la versión Sophos Intercept X
Sophos Intercept X añade tecnologías de última generación sin rmas a su sistema actual de seguridad endpoint para ofrecerle una protección multinivel completa.

Proteja el software vulnerable
La tecnología contra vulnerabilidades de seguridad detiene las amenazas antes de que supongan un problema: reconoce y bloquea los métodos habituales para introducir programas maliciosos, garantizando así la protección de sus endpoints contra amenazas desconocidas y vulnerabilidades de día cero.
Detección e caz de ransomware
La tecnología CryptoGuard detecta el cifrado espontáneo de datos maliciosos para detener en seco el avance de ransomware. Aunque se exploten o secuestren archivos o procesos de con anza, Sophos Endpoint Protection los detendrá y restituirá sin ninguna interacción por parte del usuario o del personal de soporte informático. CryptoGuard trabaja de forma silenciosa a nivel del sistema de archivos, haciendo un seguimiento de los equipos remotos y procesos locales que intentan modi car los documentos y otros archivos.
Análisis de causa raíz
Identi car los programas maliciosos y aislarlos y eliminarlos resuelve el problema inmediato. Pero, ¿sabe realmente lo que ha hecho el malware antes de eliminarlo,
o cómo se introdujo en primer lugar? El análisis de causa raíz le muestra todos los eventos que llevan a una detección. Podrá comprender qué archivos, procesos y claves de registro ha tocado el malware y activar la limpieza del sistema en profundidad para retroceder en el tiempo.
Añada protección de última generación a su seguridad tradicional
Sophos Intercept X complementa las implementaciones antivirus y anti-malware existentes con una potente protección de última generación contra vulnerabilidades de seguridad y ransomware de la que carecen los productos tradicionales. Al eliminar los vectores de ataque que las soluciones tradicionales no bloquean, Sophos Intercept X ayuda a reforzar el nivel de seguridad y aumentar la resiliencia.

Intercept X
Implementación y gestión simpli cadas
Administrar su seguridad desde Sophos Central signi ca que ya no tendrá que instalar o desplegar servidores para proteger sus endpoints. Sophos Central ofrece políticas predeterminadas y con guraciones recomendadas para garantizar que obtiene la protección más e caz desde el primer día.


Especi caciones técnicas
Sophos Intercept X admite Windows 7 y posterior, de 32
y 64 bits. Puede ejecutarse junto a Sophos Endpoint Protection Advanced, si se administra con Sophos Central. También puede ejecutarse en paralelo a soluciones antivirus y enpoint de terceros para añadir protección contra vulnerabilidades y ransomware y el análisis de causa raíz.

Cuatro pasos para lograr la protección
1. comuníquese con nosotros para comenzar su evaluación.
2. Cree una cuenta de administrador de Sophos Central.
3. Descargue e instale el agente de Intercept X.
4. Administre su protección a través de Sophos Central.
Como recomendación general, conviene que estés pendiente de los resultados que te ofrecen estas herramientas de seguridad informática para empresas y que lo hagas de forma periódica, ya que cualquier precaución es poca ante las ciberamenazas.

¿Necesitas ampliar información y claves sobre seguridad informática? consulte con los ingenieros de Seguridad America o con sus Expertos comerciales que lo asesoraran en la mejor opción para su modelo de negocio, tanto a nivel de usuario como desde el punto de vista de empresa, mejorar la seguridad de tus equipos y dispositivos móviles.

Contáctanos en:
Mail:  ventas@SeguridadAmerica.com
Fono: (+56-2) 2307-7330

Visitemos en: www.seguridadamerica.com

Cristian Álvarez Vásquez
  

Fuente: https://www.sophos.com/es-es/products/intercept-x.aspx
·    





Comentarios

Publicar un comentario

Entradas más populares de este blog

estrategia de comunicación digital

-
Imagen
¿Se ha completado su estrategia de comunicación digital? Atrás han quedado los días en que los medios convencionales, tales como mensajes, teléfono, y correo electrónico que solía ser el modo principal de comunicación. Con los tiempos y los avances en la tecnología cambia en una escala macro, los medios digitales ha tomado las empresas. Por lo tanto, para contrarrestar la competencia salvaje y para mantenerse por delante de los demás, es para usted una estrategia de comunicación digital eficiente y eficaz está en su lugar. Vamos a comenzar con la comunicación digital ¿por qué? Es el elemento clave para la adquisición y retención de clientes y es igualmente esencial para sostener un negocio en crecimiento. Por ahí cuando todo el mundo tiene más o menos el mismo producto o servicio a ofrecer, se convierte en importante para tocar la base con el conjunto adecuado de las perspectivas de una manera rápida, oportuna y atractiva. Se puede hacer sólo cuando hay una estrat
Leer más

3 Razones para tener una CA interna que debe reconsiderar

-
Imagen
Es claro que los certificados digitales pueden ser una buena opción para sus proyectos de seguridad (e.g.,authentication, firmas digitales, correo electrónico seguro), pero una vez que has decidido en una solución basada en certificados, también necesita considerar ser socio de una CA pública. Basandose en la nube podrá emitir y administrar los certificados o si vas a ejecutar sus propios servicios PKI internos. Hay pros y contras para cada escenario, pero con avances en ofertas públicas de CA yun paisaje PKI en constante evolución, algunas de las razones más populares paracorrer tu propia CA no pueden tener tanto peso como antes. Vamos a considerar tres de lo que escuchamos más a menudo. ES GRATIS! Esta es una de las razones más comunes que escuchamos - cuando encuestó a un grupo de profesionales, un 70% de los encuestados citó esto como la razón principalpara utilizar un Microsoft CA - y se refiere al hecho de que los servicios de CA de Microsoft estan incluidos con Windows Ser
Leer más

Hacking

-
Imagen
Técnicas de Hacking QUE ES UNA EMPRESA "unidad económica de producción, transformación o prestación de servicios, cuya razón de ser es satisfacer una necesidad existente en la sociedad". ¿QUÉ SE CONOCE COMO HACKING? Es complicado dar un concepto unificado de lo que es hacking. Pero si se tiene administradores de red e informática en las empresas. Se puede definir de la siguiente manera. Conjunto de técnicas y procedimientos utilizados por una persona con gran cantidad de conocimiento en el ámbito de la contra informática; estas personas se caracterizan por tres aspectos: la diversión, por qué se apasionan por lo que hacen de manera que cada día se enamoran más por lo que realiza. La otra es el talento, que son Habilidad innata o capacidad de comprender y entender estos sistemas informáticos para extraer los recursos o información de forma adecuada. También se puede decir que es el potencial de un individuo para desempeñar muy bien a
Leer más