Entel CyberSecureBoletín informativo CSIRT Ciberataque masivo de Malware Entel CyberSecure Vicepresidencia Mercado Corporaciones 12 de mayo de 2017 _1 Introducción En referencia al ataque de Ransomware detectado inicialmente en España (Empresa Telefónica). la cual utiliza una versión del malware WannaCry. sobre lo cual se añade la siguiente información. siendo Rusia el principal afectado _2 . con afectación masiva en equipos Windows de múltiples versiones. Entel CiberSecure 1. Se han detectado ataques en 74 países a rededor del mundo. al verse afectada la fe pública. 2. Bloquear en caso de sospecha.1 Medidas Reactivas Desconectar equipo de la red. como por ejemplo: HidraCrypt. Entel CyberSecure 2. Habilitar las reglas de SNORT. sacar disco. Aplicar herramientas actuales de Anti-Ransomware (en caso que estén disponibles) liberadas para cepas ya conocidas. y buscar posibles la llave de cifrado para revertir el proceso. y la privacidad de la información de ciudadanos. Reportar a la brigada de cibercrimen este tipo de delitos para enviar la señal que este tipo de incidentes si son delitos y debe perseguirse las responsabilidades penales de los involucrados.2 Medidas Preventivas Revisar si los equipos de la compañía tienen instalado el parche de actualización ms17_010 de Microsoft. etc. Mitigaciones de alto nivel Recomendadas 2. los sistemas institucionales. Petya. IDS e IPS sobre los indicadores del documento _3 . Detener el servicio SMB mediante políticas GPO Detección de nuevos equipos en la red interna Revisar las reglas de Firewall sobre comunicaciones hacia internet o redes no seguras sobre el puerto 445 (SMB). Si la identificación del Ransomware ocurre mientras esta cifrando el disco. no existe una completa certeza de cómo se desarrolla. Nota: Al ser un ataque en progreso. y en este caso. de la mano de la filtración de las herramientas de la CIA por parte del equipo de Hackers Shadowbrokers.1 Windows Server 2012 and R2 Windows 10 Windows Server 2016 _4 . Una vez mitigado el Ciberataque se realizarán todos los análisis forenses para detectar el origen y falla explotada. incluso con una interfaz gráfica para su facilidad de uso. Una vez explotada la vulnerabilidad e instalado el Backdoor se procede a descargar el ransomware y a realizar su infección. Esta filtración contenía los exploits necesarios para aprovecharse de esta vulnerabilidad. Según el CCN-CERT de España el ransomware utilizado es el WannaCry. Esta vulnerabilidad fue parchada por Microsoft el 14 de Marzo del 2017 bajo el código ms17_010.1 Windows RT 8. Comportamiento del Ciberataque Se cree que el malware pudo haber infectado a las compañías por una vulnerabilidad en los equipos Windows en los servicios SMB (puerto 445) la cual una vez explotada permite tomar completo control del equipo de manera remota. Entel CiberSecure 3. el cual una vez infectado el equipo encripta todos los archivos del disco duro y solicita una recompensa por ello la cual debe pagarse a través de Bitcoins y la red TOR. Esta información es en base a lo comunicado por el CCN-CERT de España. Existen múltiples guías en internet que explicaban paso a paso (con fotos y videos) sobre como explotar esto. La explotación de la vulnerabilidad es bastante sencilla y se realiza a través del protocolo SMB (Puerto 445) de las máquinas Windows utilizando la técnica de Eternalblue con Doublepulsar. Sistemas Afectados Las siguientes versiones Windows que tengan el servicio SMB habilitado pueden verse afectados: Microsoft Windows Vista SP2 Windows Server 2008 SP2 and R2 SP1 Windows 7 Windows 8. descargar y ejecutar el Ransomware. 4. sin embargo lo descrito en esta sección es producto del análisis y la información compartida entre centros de Ciberseguridad. vulnerabilidades explotadas. 5. Entel CyberSecure 5. hashes. como vectores. reglas de snort. Contexto Técnico A continuación se describirán los diferentes aspectos técnicos del ataque. etc.1 Hashes del Malware La siguiente tabla incluye las firmas de las diferentes versiones del Malware utilizado Tipo Hash FileHash-SHA256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa FileHash-SHA256 b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 FileHash-SHA256 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd FileHash-SHA256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa FileHash-SHA256 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa FileHash-SHA256 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c FileHash-SHA256 f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85 FileHash-MD5 509c41ec97bb81b0567b059aa2f50fe8 FileHash-MD5 7bf2b57f2a205768755c07f238fb32cc FileHash-MD5 7f7ccaa16fb15eb1c7399d422f8363e8 FileHash-MD5 84c82835a5d21bbcf75a61706d8ab549 FileHash-MD5 db349b97c37d22f5ea1d1841e3c89eb4 FileHash-MD5 f107a717f76f4f910ae9cb4dc5290594 FileHash-SHA1 51e4307093f8ca8854359c0ac882ddca427a813c FileHash-SHA1 87420a2791d18dad3f18be436045280a4cc16fc4 FileHash-SHA1 e889544aff85ffaf8b0d0da705105dee7c97fe26 FileHash-SHA1 45356a9dd616ed7161a3b9192e2f318d0ab5ad10 FileHash-SHA1 bd44d0ab543bf814d93b719c24e90d8dd7111234 FileHash-SHA256 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d FileHash-SHA256 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 _5 . Entel CiberSecure 5. EducatedScholar MS09-050 auxiliary/dos/windows/smb/ms09_050_smb2_session_logoff.2 Parches de Seguridad La siguiente tabla incluye los diferentes parches para mitigar las vulnerabilidades explotadas por este malware: Nombre Vulnerabilidad Parche msft-cve-2017-0143 msft-cve-2017-0144 EternalBlue EternalSynergy MS17-010 msft-cve-2017-0145 msft-cve-2017-0146 EternalRomance EternalChampion msft-cve-2017-0147 msft-cve-2017-0148 EmeraldThread MS10-061 WINDOWS-HOTFIX-MS10-061 EducatedScholar MS09-050 WINDOWS-HOTFIX-MS09-050 EclipsedWing MS08-067 WINDOWS-HOTFIX-MS08-067 5. exploits/windows/smb/ms09_050_smb2_negotiate_func_index EternalSynergy MS17-010 auxiliary/scanner/smb/smb_ms17_010 auxiliary/scanner/smb/ms08_067_check EclipsedWing MS08-067 exploits/windows/smb/ms08_067_netapi _6 .3 Exploits Disponibles La siguiente tabla incluye los exploits utilizados por el malware para la explotación de las vulnerabilidades: Nombre Vulnerabilidad Módulo Metasploit EternalBlue MS17-010 auxiliary/scanner/smb/smb_ms17_010 EmeraldThread MS10-061 exploit/windows/smb/psexec EternalChampion MS17-010 auxiliary/scanner/smb/smb_ms17_010 EternalRomance MS17-010 auxiliary/scanner/smb/smb_ms17_010 auxiliary/dos/windows/smb/ms09_050_smb2_negotiate_pidhig h. 114.65.221.39 213.166.39.193.231. Entel CyberSecure 6.223:9001 2.113.31.166.15.39:9101 129.12 193.177:9001 91.92.127 199.155 50.0.128.38 89.3.31.69.7.11.66.0.19 217.31.254.9.21.71.255.238.23.121.244.102 176.32:443 146.211 51.101.138.43 158.0.32.179 128.218 167.61.179.127 212.114.169.209 79.39 51.40.35.42. Direcciones IP del Malware 149.52 86.172.30.6.59.36.203.237:9001 193.47.161.149.116:9003 188.23.171 197.69.0.235 128.69 62.144 163.202.218 83.172.232.79.160.244 81.164 46.149 _7 .7.28 192.158. Imágenes del Ransomware _8 . Entel CiberSecure 7. ]html?retencion=081525418 hxxp://www[.209:9001 146. Entel CyberSecure 8.3.23.0.244:443 2.]com/incluir/rk/imagenes[.]rentasyventas[.]html hxxp://www[.]php?address hxxp://www[. URL descubiertas utilizadas por el Malware hxxtp://www[.23.1 Nodos TOR utilizados 188.244.218:9001 _9 .]btcfrog[.127:443 193.69.144:9001 50.166.7.]rentasyventas([.161.]com 8.32.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.])com/incluir/rk/imagenes[.]com/qr/bitcoinpng[. Reglas para detectar IoC Las siguientes Reglas ayudan a la rápida detección de una infección. Europe Standard Time HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Time Zones\W. 9. Claves de registro afectadas HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IMM HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF HKEY_LOCAL_MACHINE\Software\Microsoft\CTF\SystemShared HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004 HKEY_LOCAL_MACHINE\Software\WanaCrypt0r HKEY_CURRENT_USER\Software\WanaCrypt0r HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21- 1547161642-507921405-839522115-1004 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentVersion\Time Zones\W.ini C:\DOCUME~1\User\LOCALS~1\Temp\c.1 Ficheros modificados C:\WINDOWS\system32\msctfime.wnry C:\DOCUME~1\User\LOCALS~1\Temp\msg\m_English.wnry 10.ime C:\WINDOWS\win. Entel CiberSecure 9. Europe Standard Time\Dynamic DST HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\LangBarAddIn\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\LangBarAddIn\ _10 . for MS Windows MD5 7bf2b57f2a205768755c07f238fb32cc SHA1 45356a9dd616ed7161a3b9192e2f318d0ab5ad10 SHA256 b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 91a39e919296cb5c6eccba710b780519d90035175aa460ec6dbe631324e5e5753bd8d87f395 SHA512 b5481bcd7e1ad623b31a34382d81faae06bef60ec28b49c3122a9 CRC32 4E6C168D SSDEEP 3072:Rmrhd5U1eigWcR+uiUg6p4FLlG4tlL8z+mmCeHFZjoHEo3m:REd5+IZiZhLlG4AimmCo YARA None matched % 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 % 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c % b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 % ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa _11 . Entel CyberSecure 11.exe FILE SIZE 245760 bytes FILE TYPE PE32 executable (GUI) Intel 80386. Detalles de Hash Ransomware Campo Valor FILE NAME WanaDecryptor. Petya. obligar al sistema operativo a mostrarla. java. verificando que en propiedades de Windows esté habilitado “No esconder extensiones de archivos”. Reportar a la brigada de cibercrimen este tipo de delitos para enviar la señal que este tipo de incidentes si son delitos y debe perseguirse las responsabilidades penales de los involucrados. Mitigaciones de alto nivel recomendadas 12. etc. Aplicar herramientas actuales de Anti-Ransomware (en caso que estén disponibles) liberadas para cepas ya conocidas. Si la identificación del Ransomware ocurre mientras esta cifrando el disco. Los equipos que no cuenten con últimas versiones de actualizaciones en Sistemas Operativos y programas como flash.” 12. sacar disco. Entel CiberSecure 12.1 Medidas reactivas Desconectar equipo de la red. Si la institución ha de mantener aplicaciones “legacy” sobre sistemas operativos que ya no cuentan con soporte de seguridad por parte del fabricante. por ejemplo). y buscar posibles la llave de cifrado para revertir el proceso. En conjunto a esta medida se debe educar al usuario para que sepa reconocer las extensiones y cuáles de ellas son potencialmente peligrosas. al verse afectada la fe pública. En el contexto del manejo de entorno de los computadores de usuarios. Para aplicar el control que muestre las extensiones. debiera considerar no exponer a internet estos equipos. para usos que no requieran esos privilegios elevados. Internet Explorer se recomienda que no sean conectados a Internet. como por ejemplo: HidraCrypt. _12 . en atención a su alta vulnerabilidad y probabilidad de ser impactados por malware. Las actividades deben realizarse en general con el perfil de usuario normal. debe aplicarse en lo posible mediante política (GPO) a todos los equipos o en su defecto para algún caso relevante. los sistemas institucionales. Evitar el uso cotidiano de cuentas de administrador tanto de dominio como local.2 Buenas Prácticas Generales Tener una declaración de activos críticos actualizada y políticas de protección ad hoc para la protección de dichos activos priorizados en base a los riesgos (probabilidad de materialización de una amenaza versus impacto de dicha materialización. es necesario para mitigar técnicas de ataque en las que se pretende esconder la extensión real de archivos enviados a los usuarios. Verificar que los activos críticos se encuentren respaldados con pruebas de recuperación realizas con una frecuencia acorde a la criticidad de los activos y las ventanas de tiempo óptimas ante potenciales pérdidas de datos y los niveles de confianza de las herramientas de respaldo implementados. adobe. y la privacidad de la información de ciudadanos. com/news/health-39899646 Alerta CCN-CERT: https://www.hybrid- analysis.cni. Entel CyberSecure 13.ccn-cert.15/news/on-euro-weekly-news/spain-news-in- english/144385-telefonica-allegedly-hacked-and-held-to-ransom https://www.com/pulse/5915db384da2585b4feaf2f6/ https://otx.cl Subgerente de CiberSeguridad Entel 14.-and-smbv3-in-windows-vista.edu/forums/diary/ETERNALBLUE+Windows+SMBv1+Exploit+Patched/22304/ https://www.cl Service Delivery Manager CiberSeguridad Entel Cyril Delaere [email protected]/en-us/library/security/ms17- 010.alienvault.-smbv2. Contacto Nombre Mail de contacto Carlos Gaule [email protected]/analysis/YTllMjk1N2I0MTlmNGRlMmFhY2UyOTExMjg5ZTFiYjA/ https://isc.cni.ccn-cert.sans.-windows-8.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque- masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.euroweeklynews.com/sample/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 ?environmentId=100 http://www.-windows-server- 2008-r2.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de- ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.com/3.-windows-7.bbc.com/en-us/help/204279/direct-hosting-of-smb-over-tcp-ip Laboratorio interno CCI-ENTEL _13 .0.html Microsoft Security Bulletin: https://technet.microsoft.microsoft.alienvault.-windows-server-2008.com/pulse/5915abfa0d3cde45e3669850/ https://www.com/pulse/5915d8374da2585a08eaf2f6/ https://otx.-and-windows-server-2012 https://support.cl Director Centro CiberInteligencia Entel Gedeón Carrillo [email protected]/en-us/help/2696547/how-to-enable-and-disable- smbv1. Fuentes https://otx.html https://malwr.microsoft.aspx#ID0ERPAG Información sobre: https://support. Entel CiberSecure _14 .