Desde OPEN3S hemos querido estrenar el blog después de la resaca WCry / WanaCrypt0r. No lo hemos querido realizar antes puesto que había suficiente información al respecto en otros medios, por lo que hemos querido darle un enfoque algo diferente.
El enfoque que queremos dar a este artículo es desde el punto de vista de la protección y mecanismos que habrían evitado la infección tanto del paciente 0 como consecución de ejecución del exploit.
En esta entrada queremos resumir el funcionamiento de WannaCry así como analizar los mecanismos de protección que habrían sido efectivos contra dicha amenaza.
RESUMEN WANNACRY
Hasta el momento no hay evidencias claras de la infección del paciente 0, pero parece bastante claro que no ha seguido la vía habitual del correo electrónico.
El método de propagación, tanto en intranet como internet, parece haber sido mediante el uso de MS17-010.
A continuación, se muestra de manera muy resumida el funcionamiento del malware:
- 1. Beacon inicial a http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
- 2. Si el paso anterior tiene éxito, el proceso finaliza
- 3. Si el paso 1 no tiene éxito, se ejecutan 2 procesos diferentes:
- a. Funcionalidad ransomware
- b. Funcionalidad gusano, mediante el uso de MS17-010 para distribuir y ejecutar el malware
BACKGROUND, MS17-010
Las publicaciones de las vulnerabilidades reportadas en dicho boletín son referentes al protocolo SMBv1. La fecha de publicación inicial fue el 14 de marzo del 2017.
Parece existir una relación directa entre dicho boletín y la filtración del material. Shadow Brokers es el grupo que filtra el material, indicando que se trata de material del grupo Equation Group (relacionado con la NSA).
La filtración se hace pública un mes después a la publicación del boletín MS17-010. El nombre en clave del exploit utilizado por el malware es ETERNALBLUE (con timestamp del año 2011):
- https://github.com/misterch0c/shadowbroker/
- https://arstechnica.com/security/2017/04/purported-shadow-brokers-0days-were-in-fact-killed-by-mysterious-patch/
Microsoft ya anunció su conocimiento sobre el tema e indicó que dichos exploits utilizan fallos ya corregidos:
El fallo en cuestión es muy crítico, ya que permite ejecución de código remota y existen exploits públicos (inclusive para el framework metasploit), lo cual permite explotar el fallo de manera muy sencilla.
DEFENSA
Existen varios métodos de protección contra este tipo de amenazas ransomware / exploits.
En este caso, el método más efectivo de protección consiste en tener las actualizaciones de MS al día. Al menos las referentes al boletín MS17-010, ya que es la vía de infección utilizada. Si no hay infección, no hay ransomware.
Otros métodos de protección son para este caso concreto son:
- Utilizar tecnologías IPS y aplicar las firmas correspondientes a MS17-010. Esta medida no evita la propagación del malware en red local, pero sí evita que se propague entre distintas redes IP.
- Deshabilitar SMBv1. Este método no siempre es viable, ya que en muchos entornos existen todavía equipos que no soportan SMBv2 o superior y, por tanto, es necesario SMBv1.
El protocolo SMBv2 se introdujo en Windows Vista y Windows Server 2008.
El protocolo SMBv3 se introdujo en Windows 8 y Windows Server 2012. - Filtrar en FW local los puertos 135 y 445 para evitar la propagación del malware en equipos vulnerables. Este método solo es válido si no se requiere ofrecer servicio SMB.
Por tanto, por lo general podría aplicarse a todas las estaciones de trabajo de usuarios.
Por último, destacar que existen soluciones de protección endpoint que hemos comprobado habrían evitado tanto la infección inicial como propagación del malware WanaCrypt0r desde el primer momento.
Las pruebas las hemos hecho con agentes en modo offline y actualizados a principios de la semana pasada, asegurando de este modo que los agentes no disponen de información concreta sobre el malware.
Las soluciones probadas son Sentinel One y PaloAlto Networks TRAPS. Ambos productos tienen como objetivo la protección ante amenazas de los equipos finales (tanto puestos de trabajo como servidores), aunque lo hacen con aproximaciones distintas y en ningún caso basado en firmas:
- PaloAlto Networks TRAPS. Tiene 2 motores de protección:
- Sistema anti-exploit. Protege contra la explotación mediante el bloqueo de los vectores de exploit
- Sistema anti-malware. Dispone de distintos tipos de protección personalizables, para el caso que nos ocupa, el módulo de local análisis es efectivo contra esta muestra. Adicionalmente, si se siguen recomendaciones de configuración de la plataforma, habría otros módulos que también habrían sido capaces de evitar la ejecución del malware.
- Sentinel One. Basa la protección en la identificación de amenazas por detección de comportamiento. Tiene capacidad de bloquear tanto exploits como malware. En este caso la protección también es efectiva tanto para el paciente 0 como para los equipos atacados mediante MS17-010, evitando por tanto la infección en todos los casos.
