Alerta Zero Day – “WannaCry” Global Ransomware

Alerta Zero Day – “WannaCry” Global Ransomware

Iata cateva informatii cu privire la ultimul atac global de tip ransomware numit “WannaCry” sau “WanaCrypt0r 2.0”: https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

Deja a afectat peste 100.000 de computere in 100 de tari in ultimele 5 zile (Marea Britanie, Statele Unite, China, Rusia, Spania, Italia şi Vietnam), impactand organizatii din toate colturile lumii, ca Ministerul de Interne din Rusia, universitati din China, operatori de telecomunicatii din Spania si Ungaria, clinici si spitale conduse de Serviciile Britanice Nationale de Sanatate, chiar si Dacia Renault. Conform statisticilor furnizate de laboratoarele specializate de securitate, la sfarsitul zilei de 12 mai, Romania s-ar fi plasat printre cele mai afectate 10 tari, pe locul al 9-lea. Cererile de rascumparare au fost livrate in peste 25 de limbi diferite.

Atacul combina un malware de tip ransomware cu un exploit pentru Windows File Sharing (protocolul SMB/CIFS) pentru a permite o pivotare laterela in cadrul retelei afectate, exact ca un “worm”.

Momentan, principalul canal de atac este Internetul: Web, Social Media, Emailuri, dar ne asteptam ca in curand sa se raspandeasca si offline prin intermediul stick-urilor USB sau orice dispozitiv de tip amovibil (“removable media”).

Iata cele mai eficiente masuri pentru prevenirea infectarii. Il puteti folosi ca pe un checklist intern pentru a va asigura ca diminuati riscurile:

  1. Protectie de tip Sandbox: pe retea pentru trafic (web, email), si pe clienti/servere
    1. Asigurati-va ca acestea sunt actualizate, sincronizate si gata sa fie capabile sa blocheze atacurile.
    2. Dispozitivele mobile nu sunt inca vizate in acest atac, insa exista atacuri recente de tip ransomware-ul pentru Android.
    3. Utilizarea tehnicilor de evaziune anti-sandbox este recomandata (CPU Level Emulation, Physical Detonation, etc.)
  2. Managementul vulnerabilitatilor și update-ul software-ului critic
    1. WannaCry se raspandeste exploatand CVE-urile recente de la Microsoft (CVE-2017-0143 pâna la CVE-2017-0148) care afecteaza aproape toate versiunile de Windows, incepand cu Windows XP pana la Windows 10, si de la Windows Server 2003 pana la Windows Server 2016.
    2. Patch-urile pentru Windows sunt disponibile aici: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
    3. Windows XP și 2003 sunt cele mai expuse riscului, deoarece noi patch-uri nu au mai fost lansate pentru acestea din aprilie 2014 (datorita expirarii suportului de la producator).
    4. Totuși, Microsoft a anuntat lansarea patch-urilor extraordinare pentru Windows XP și 2003: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks /
    5. Asigurati-va ca aplicati patch-urile critice imediat ce acestea sunt fost publicate.
    6. Ca alternativa SMBv1 ar putea fi dezactivat. Acest lucru ar putea crea totusi disfuncionalitati operationale cu echipamentele mai vechi.
  3. Antimalware / Antivirus / Anti-X
    1. Software-ul de protectie trebuie sa fie actualizat.
    2. Analiza comportamentala ar permite detectarea unor atacuri polimorfe pentru care nu sunt inca semnaturi disponibile. Toate atacurile ransomware cripteaza fisiere, lucru usor de observat prin analiza comportamentala.
    3. Porturile externe (USB, Firewire, etc.) si posibilitatea de autorun pentru acestea trebuie sa fie strict controlate – avem noi amenintari prin instalarile automate de drivere.
    4. Dezactivarea, atunci cand este posibil a Java Applets, ActiveX, Flash.
    5. Folosirea unor aplicatii terte pentru deschiderea documentelor PDF va reduce suprafata de atac pentru atacurile netargetate.
    6. Rularea in modul de utilizare cu drepturi ne-privilegiate (inclusiv utilizatori finali si profesionisti IT).
    7. Activarea optiunii “Isolated user mode“ in Windows 10 este o tehnica excelenta pentru a impiedica escaladarile privilegiilor la Ring0 (Kernel Space).
  4. Protectia retelei. Trebuie verificate fluxurile externe (Web, Email) si fluxurile interne
    1. Filtrarea continutului web – reduce riscul contactarii punctelor de distribuție inițiale
    2. Inspectarea si filtrarea traficului “egress” dinspre retea catre Internet (atentie deosebita pentru DNS, ICMP, HTTP si HTTPS) reduce riscul de extragere a informatiilor din interior si pentru conexiunile de tip “reverse” (din exterior in cadrul retelei interne).
    3. Arhivele protejate cu parola trebuie eliminate in punctele de intrare in retea. Atacurile recente au folosit aceasta tehnica, in timp ce au trimis parola pe un canal separat.
    4. Segmentarea retelei, prezenta firewall-ului intre zone – reduce riscul de expansiune / pivotare laterala si reduce suprafața de atac.
    5. Internet Edge – asigurati-va ca nu gazduiti servere care folosesc SMB/CIFS in DMZ expuse catre Internet. Dupa ce cripteaza discul WannaCry incearca sa se extinda cautand astfel de servere vizibile pe Internet.
    6. Semnaturi update la zi pentru IPS (Intrusion Prevention System) – acest lucru va limita pentru traficul intern extinderea laterala.
    7. Este necesara inspectia HTTP / HTTPS pentru inspectia profunda a pachetelor. In mod ideal aceasta tehnica functioneaza foarte bine in combinatie cu un sandbox.
    8. Dezactivarea pentru documente (PDF, DOCX, PPTX, etc.) a codului executabil. (Macros, JS, etc.)
    9. Protejarea utilizatorilor atunci cand sunt in afara retelei interne (VPN-uri cu optiunea de autodial si kill switch).
    10. NAC (Network Access Control) va impiedica extinderea exploatarii malware-ului/vulnerabilitatilor asupra retelei interne de catre dispositive necunoscute sau neautorizate.
  5. Constientizarea utilizatorilor finali
    1. Securitatea este un proces si incepe cu oamenii. Cele mai multe dintre atacurile recente sunt lansate prin e-mailurile apparent legitime care contin virusul. Sunt asa numitele campanii de “spear phising” partial targetate.
    2. Un atac ransomware poate fi “intrerupt” prin inchiderea computerului imediat ce utilizatorul simte ceva ciudat si contactand imediat persoanele responsabile cu securitatea IT.
  6. Dectectia incidentului si raspunsul – este esentiala pentru  a proteja organizatia  in momentul in care a inceput un atac
    1. Folosirea solutiilor de tip IDS, Honeypots, SIEM, precum si existenta unei echipe de Securitate IT profesioniste vor ajuta la detectarea atacurilor intr-un timp cat mai scurt.
    2. De asemenea, existenta unor procese adecvate si solide pentru securitatea IT vor asigura actiuni prompte si daune minime de indata ce o amenintare a fost detectata.

Pentru a rezuma WannaCry poate fi usor de combatut prin setari corecte si actualizari la zi pentru: solutiile AV/AX locale sau pentru retea, NGFW/IPS, Sandboxing, Filtrare de continut, aplicarea pach-urilor critice (in acest caz MS17-010).

Totusi, WannaCry si cele ce vor urma, vor putea fi cu adevarat prevenite doar prin stategii de securitate in profunzime pe care am incercat sa le expunem pe scurt in acest post.

Share this post

Leave a Reply

Your email address will not be published. Required fields are marked *