Comment le logiciel malveillant "WannaCry" se propage-t-il et comment les utilisateurs devraient-ils s'en défendre?

Le ransomware utilise un exploit connu et divulgué publiquement dans SMBv1 (Server Message Block Version 1). Il s'agit d'un protocole de niveau application utilisé pour partager des fichiers et des imprimantes dans un environnement en réseau.

Le protocole SMBv1 est couramment utilisé dans les environnements Windows en réseau et comprend des systèmes d'exploitation tels que Windows XP, Windows 7, 8, 8.1 et 10. Windows Vista et permettre l'utilisation de SMBv1, même s'ils prennent en charge les protocoles SMBv2 et v3 améliorés.

Les environnements qui n'utilisent pas l'implémentation de Microsoft sont peu susceptibles d'être affectés par l'exploit et les vulnérabilités associées. De plus, les environnements qui ne prennent pas en charge SMBv1 ne sont pas non plus affectés.

Vous pouvez désactiver la prise en charge SMBv1, selon les instructions de Microsoft: https://support.Microsoft.com/kb/2696547

Ceux qui exécutent Windows 8.1 ou Windows Server 2012 R2 et versions ultérieures peuvent désactiver la prise en charge en supprimant la fonctionnalité Windows pour "Prise en charge du partage de fichiers SMB1.0/CIFS".

Il existe six vulnérabilités majeures dans l'implémentation Microsoft de SMBv1. Les cinq premiers (et plus critiques) sont ceux qui permettent l'exécution de code arbitraire à distance. Le dernier permet la "divulgation des données". Le ransomware exploite les cinq premières vulnérabilités et les exploite.

Les mesures que les utilisateurs/entreprises peuvent prendre pour atténuer ce rançongiciel et d'autres comprennent:

• Assurez-vous que les systèmes sont corrigés, les vulnérabilités ont été corrigées en mars 2017.
• Conservez une sauvegarde récente de votre système ou des données utilisateur/entreprise critiques.
• Utiliser et entretenir une solution antivirus
• Utilisez un schéma de sauvegarde tel que GFS (grand-père, père, fils).
• Supprimez l'utilisation ou le support de SMBv1 (voir ci-dessus).
• Séparez le réseau de manière à réduire l'impact des dommages.
• Utilisez si possible un ensemble diversifié de systèmes et de systèmes d'exploitation.

Liens web:

https://technet.Microsoft.com/en-us/library/security/ms17-010.aspx

http://msdn.Microsoft.com/en-us/library/aa365233 (VS.85) .aspx

http://www.eweek.com/security/wannacry-ransomware-attack-hits-victims-with-Microsoft-smb-exploit

Cisco a publié un article à ce sujet qui va plus en détail que tous les autres que j'ai vus. Leurs étapes de base pour la prévention sont les suivantes:

• Assurez-vous que tous les systèmes Windows sont entièrement corrigés. À tout le moins, assurez-vous que le bulletin Microsoft MS17-010 a été appliqué.
• Conformément aux meilleures pratiques connues, toute organisation qui a SMB accessible au public via Internet (ports 139, 445) doit immédiatement bloquer le trafic entrant.

Et au moins basé sur ce bulletin Microsoft , il semblerait que ce soit une vulnérabilité SMBv1, pas SMBv2.

Qui est en danger? Toute personne exécutant des systèmes d'exploitation répertoriés dans l'annonce de correctif ici: https://technet.Microsoft.com/en-us/library/security/ms17-010.aspx

Comment? Les logiciels malveillants peuvent être fournis de plusieurs façons, une fois qu'un point final est compromis, l'aspect "ver" de ce logiciel malveillant exploite ms17-010. Donc, cela pourrait être de cliquer sur un lien, d'ouvrir une archive qui a été envoyée par e-mail, etc. etc. https://www.Microsoft.com/en-us/security/portal/mmpc/help/ infection.aspx

Il semble que? Vous plaisantez j'espère ;-)

Regardez-le se propager: https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all

Indicateurs de compromis: https://otx.alienvault.com/Pulse/5915d8374da2585a08eaf2f6/

Rechercher les points de terminaison vulnérables (nmap): https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse

Il est également important de savoir qu'il existe de nouvelles variantes de Wannacry (surnommé Wannacry v2) qui ne proviendraient pas des mêmes auteurs.

Comment ce logiciel malveillant compromet les systèmes:

Tout d'abord, il crée et définit les entrées de registre suivantes:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Updates Task Scheduler" = "" [PATH_TO_RANSOMEWARE] [TRANSOMEWARE_EXE_NAME] "/ r"
• HKEY_LOCAL_MACHINE\SOFTWARE\WannaCryptor\"wd" = "[PATH_TO_RANSOMEWARE]"
• HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "% UserProfile%\Desktop! WannaCryptor! .Bmp"

WannaCry crée ensuite les mutex suivants:

• Global\WINDOWS_TASKOSHT_MUTEX0
• LGlobal\WINDOWS_TASKCST_MUTEX

Après cela, il met fin aux processus suivants à l'aide de taskkill /f /im:

• sqlwriter.exe
• sqlserver.exe
• Microsoft Exchange.*
• MSExchange *

WannaCry commence à rechercher, chiffrer et ajouter .WCRY à la fin des noms de fichier des formats de fichier suivants:

.123
. 3dm
. 3ds
. 3g2
. 3gp
. 602
. 7z
.ARC
. PAQ
. accdb
. aes
. ai
. asc
. asf
. asm
.aspic
. avi
. sauvegarde
. bak
.chauve souris
. bmp
. brd
. bz2
. cgm
.classe
. cmd
. cpp
. crt
. cs
. csr
. csv
. db
. dbf
. dch
. der
. dif
.tremper
. djvu
. doc
. docb
. docm
. docx
.point
. dotm
. dotx
. dwg
. edb
. eml
.Floride
. flv
. frm
. gif
. gpg
. gz
. hwp
. ibd
. iso
.pot
.Java
. jpeg
. jpg
. js
. jsp
.clé
.allonger
. lay6
. ldf
. m3u
. m4u
. max
. mdb
. mdf
.milieu
. mkv
. mml
. mov
. mp3
. mp4
. mpeg
. mpg
. msg
.mon D
.mon je
. nef
. odb
. odg
. odp
. ods
. odt
. onetoc2
. ost
. otg
. otp
. ots
. ott
. p12
. pas
. pdf
. pem
. pfx
. php
.PL
. png
.pot
. potm
. potx
. ppam
. pps
. ppsm
. ppsx
. ppt
. pptm
. pptx
. ps1
. psd
.TVP
. rar
.brut
. rb
. rtf
. sch
. sh
. sldm
. sldx
. slk
. sln
. snt
. sql
. sqlite3
. sqlitedb
. stc
. std
. sti
. stw
. suo
. svg
. swf
. sxc
. sxd
. sxi
. sxm
. sxw
.le goudron
. tbk
. tgz
. tif
. tiff
.SMS
. uop
. uot
. vb
. vbs
. vcd
. vdi
. vmdk
. vmx
. vob
. vsd
. vsdx
. wav
. wb2
. wk1
. semaines
. wma
. wmv
. xlc
. xlm
. xls
. xlsb
. xlsm
. xlsx
. xlt
. xltm
. xltx
. xlw
.Zip *: français

À titre de prévention, Nik vous a donné tout ce que vous devez savoir, mais j'ajouterai que vous devez essayer de bloquer les connexions entrantes sur le port 445/TCP. Assurez-vous de ne pas bloquer le domaine de gouffre suivant, car il s'agit du commutateur d'arrêt trouvé dans le binaire Wannacry v1:

hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

J'espère que cela aide.

Cela semble être à la fois une attaque de phishing/ransomware standard, mais il se propage également comme un ver une fois qu'il pénètre dans un réseau cible.

Les serveurs Windows sont généralement derrière des pare-feu qui ne passent pas SMB. Une fois que la première machine d'un réseau protégé est infectée, le ver propage l'attaque en utilisant l'exploit SMB noté ci-dessus).

J'aimerais obtenir une confirmation du côté phishing de l'attaque. Microsoft (il y a deux jours) n'avait toujours pas d'informations sur le compromis initial:

Nous n'avons trouvé aucune preuve du vecteur d'entrée initial exact utilisé par cette menace, mais il y a deux scénarios qui, selon nous, sont des explications très possibles de la propagation de ce ransomware:

Arrivée via des e-mails d'ingénierie sociale conçus pour inciter les utilisateurs à exécuter le logiciel malveillant et à activer la fonctionnalité de propagation de vers avec l'infection par exploit SMB via SMB exploit quand un ordinateur non corrigé) est adressable à partir d'autres machines infectées ( https://blogs.technet.Microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/ )

[Modifier] Je viens de voir que Forbes ne pense pas que le phishing est un composant majeur de cette attaque. voir https://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#37038021e599 :

"... il est peu probable que les e-mails de phishing soient la principale méthode d'infection, étant donné que peu de courriers électroniques partagés contiennent des logiciels malveillants. La division Talos de Cisco ne pense pas que des e-mails de phishing aient été utilisés ..."

Cela laisserait donc des serveurs non protégés avec des ports SMB exposés à Internet ouvert comme principal vecteur d'infection. Cela pourrait expliquer certaines des cibles de haut niveau signalées qui ont des réseaux largement répandus (FedEx, NHS, etc. Il ne faudrait qu'un seul ordinateur non exposé qui se connecte également à un réseau plus large pour bootstrap une infection).

NHS était condamné à être le premier coup sûr

Il existe de nombreuses bonnes réponses ici, mais cette réponse est éclairante compte tenu des événements récents. Le 18 janvier 2017 S-Cert a exhorté les administrateurs à mettre le pare-feu hors SMBv1 mais les commentaires sur cette histoire indiquent que la seule raison pour laquelle Windows XP le support est toujours là est parce que le NHS ( Les services de santé nationaux du Royaume-Uni, qui ont été fermés le vendredi 12 mai), versent des tonnes de M $ en espèces pour le maintenir en vie.

Un lien pour toutes les versions vulnérables de Windows

Si vous avez un ancien ordinateur portable de sauvegarde Windows Vista comme moi, vous pourriez être intéressé par KB4012598 pour Windows 8, XP, Vista, Server 2008 et Server 20 qui sont équivalents à beaucoup parlé MS17-010 . Il s'agit de correctifs manuels pour les versions Windows EOL (End of Life) hors prise en charge et mises à jour automatiques. Microsoft a pris la décision extraordinaire de publier ces correctifs au cours des dernières 48 heures.

Les utilisateurs de Linux peuvent également être affectés

S'il y a des utilisateurs Linux qui lisent cette réponse, je voudrais souligner les vulnérabilités discutées dans Ask Ubuntu à ce sujet Question J'ai posté.

Détails techniques non répertoriés dans les autres réponses

Cette article discute du blocage de ports spécifiques et de la désactivation de SMBv1 et SMBv2 en faveur de SMBv3. Une partie de l'article indique que le [~ # ~] fbi [~ # ~] dit que vous ne devriez pas payer les criminels pour récupérer vos données mais dans en toute honnêteté, je paierais 300 dollars pour récupérer ma vie.

Coïncidences fantasmagoriques

Les Shadow Brokers ont fait 31 mille dollars à ce jour, selon un article aujourd'hui. Fait intéressant, le nom est apparu pour la première fois (AFAIK) en tant que groupe fictif se déplaçant et trafiquant des secrets dans un jeu vidéo de science-fiction inventé à Edmonton il y a environ 10 ans. Deuxième fait intéressant, ils facturent 300 $ pour déverrouiller vos données rançonnées et je facturais 300 $ pour les réparations de données de GL, AR, IC, PR, etc. Cela dit, je doute fortement que les Shadow Brokers soient basés à Edmonton où j'habite.

La version deux est sortie et le kill switch ne fonctionnera pas

La création du site Web http://iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/ qui fonctionne comme un kill-switch pour le ransomware aurait été contournée par une nouvelle version de "Wanna Cry". Je n'ai pas lu beaucoup d'articles confirmant cela, mais à tous égards, les trous SMBv1 et SMBv2 doivent être bouchés. Les gens ne devraient pas compter sur le kill-switch fonctionnant avec les futures versions de "Wanna Cry" ou tout nouveau malware/ransomware utilisant le trou de boucle.

Si vous vous demandez ce que dit le site Web de kill-switch, c'est:

sinkhole.tech - où les bots font la fête et les chercheurs plus fort ...

Théories du complot de Microsoft

Ceux qui ne croient pas aux complots peuvent appuyer sur le bouton de retour. Le NSA et Microsoft savaient que cela venait selon cet article faisant circuler une pétition demandant de savoir ce que Microsoft savait, quand, où et comment . Les allégations sont basées sur le timing de Shadow Brokers, NSA se piraté et mises à jour de sécurité MS.

En plus des réponses précédentes, qui ne mentionnent que Windows, et puisqu'il y a une question fermée dup " WannaCry infecte Linux? " pointant vers celle-ci, je voudrais ajouter que les machines Linux peuvent obtenir infectés aussi s'ils exécutent Wine: https://Twitter.com/hackerfantastic/status/863359375787925505

Bien que l'installation de correctifs de fournisseurs soit toujours une bonne idée, il convient également de noter que le logiciel malveillant effectue une vérification DNS lors de l'activation. J'ai vu un domaine signalé:

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Mais il est probable qu'il y en ait peut-être plus. Par conséquent, il devrait être possible de surveiller votre réseau pour de nouvelles infections en utilisant quelque chose comme ça (sur une boîte Linux/Unix) qui teste une très longue chaîne en tant que composant de domaine dans une requête DNS:

tcpdump -K dst port 53 | awk '$8 ~ /[^\.]{20,}/ { print $0; }'

(non testé: YMMV)

Je répondrai un peu de manière concise à la partie "comment protéger"

0. Agissez rapidement

Le malware se propage toujours. Si votre système n'est pas protégé, sa durée de vie restante est comptée en heures

1. Assurez-vous d'effectuer les mises à jour système requises

Microsoft a déjà publié des correctifs pour toutes les versions de Windows en cours de maintenance. Peut-être que Windows ME n'a pas été corrigé, sinon passez à # 4

2. Sauvegarde

Vous pouvez défendre votre infrastructure par n'importe quel ransomware, ou au moins limiter ses dommages, en appliquant une politique de sauvegarde valide. La sauvegarde sur une machine vulnérable n'a aucun sens dans cette situation. La synchronisation avec le cloud peut être dangereuse

3. Pare-feu de l'extérieur

Si vous êtes un utilisateur à domicile ou une grande entreprise, vous devez toujours appliquer la règle de base du pare-feu: désactivez tout sauf les services que vous exécutez réellement.

Vous exécutez une application Web? Ouvrez uniquement les ports 80/443. Faire tourner Torrent à la maison? Utilisez upnp ou choisissez vos ports à ouvrir sur votre modem.

N'utilisez pas DMZ. Si vous avez vraiment besoin de SMB vous devez y penser attentivement. Discuter sur ServerFault peut être une bonne chose.

4. Entrefer ou vieilles machines à pare-feu solide

Si vous possédez un système hérité qui est vraiment critique pour l'entreprise et ne peut pas être mis à niveau en peu de temps, envisagez de l'écarter. La virtualisation d'une ancienne version de Windows est inutile car le malware peut se propager sur votre réseau de machines obsolètes. Si vous ne parvenez pas à pare-feu et/ou à désactiver complètement SMB, la dernière option consiste à retirer le câble réseau jusqu'à ce que vous trouviez une meilleure solution