WannaCry (WannaCrypt) - аналіз вірусу-шифрувальника і методів захисту

1. Вступ
4. Ознаки зараження WannaCry
5. Захист від WannaCrypt і інших шифрувальників
6. висновки

Наша взаимовыгодная связь https://banwar.org/

У статті докладно розглянуто феномен вірусу-шифрувальника WannaCry / WannaCrypt, епідемія зараження яким стрімко почалася 12 травня 2017 року. Описано основні функції цього шкідливий, а також механізми захисту від подібного роду атак в майбутньому.

1. Введення

2. Коріння WannaCry

3. Аналіз WannaCry

4. Ознаки зараження WannaCry

5. Захист від WannaCrypt і інших шифрувальників

6. Висновки

Вступ

12 травня 2017 р під кінець дня, коли всі адміністратори і фахівці з безпеки почали збиратися по домівках і дачах, світ облетіла новина про початок безпрецедентної атаки WannaCry.

WannaCry ( WannaCrypt , WCry , WanaCrypt0r 2.0 , Wanna Decryptor ) - шкідлива програма, мережевий черв'як і програма-вимагач грошових коштів. Програма шифрує майже все що зберігаються на комп'ютері файли і вимагає грошовий викуп за їх розшифровку. Шкідливих програм такого типу реєструвалося безліч за останні роки, але WannaCry на їх тлі виділяє ся масштабом поширення і використовуваними техніками.

Цей вірус-шифрувальник почав поширення приблизно в 10 ранку і вже ввечері 12 травня ЗМІ стали повідомляти про численні заражених. У різних виданнях пишуть , Що здійснена хакерська атака на найбільші холдинги, в тому числі і на «Сбербанк».

В інтернеті з'явилася інфографіка, що демонструє в динаміці поширення вірусу по світу. Початковий етап атаки WannaCry наведено нижче на статичному зображенні.

Малюнок 1. Поширення WannaCry по земній кулі

Вірус-вимагач WannaCry, можливо, написаний вихідцями з Південного Китаю. Співробітники компанії Flashpoint вирішили вивчити НЕ вихідні коди і поведінку шкідливий, а провести лінгвістичний аналіз повідомлення з вимогою викупу.

Дослідники компанії Flashpoint пишуть , Що розробники або WannaCry безумовно добре знають китайську мову. На цю обставину вказує той факт, що здирницькі повідомлення представлено в двох варіантах: один використовує традиційні ієрогліфи, а інший спрощені. Крім того, здирницькі послання на китайському явно відрізняється від англійського шаблону, і його писала людина, добре знайомий з тонкощами мови.

коріння WannaCry

Випадково чи навмисно у американських хакерів, то чи з АНБ, то чи з ЦРУ, витекло «дуже небезпечне кіберзброя» (у чому вони, як правило, не визнаються). Про це стало відомо, коли людина з хакерського угруповання The Shadow Brokers виклав це «зброя» в інтернет. Серед них був експлойт EternalBlue.

В автоматичному режимі це кіберзброя дозволяє захопити управління будь-яким комп'ютером Windows, використовуючи його стандартний сервіс доступу до файлової системи по мережі - протокол SMB.

Архів, опублікований кібер-угруповання The Shadow Brokers, містить в загальній складності 23 інструменту, в тому числі EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig, Fuzzbunch .

Останній являє собою модульне ПО (розроблений АНБ еквівалент Metasploit), що дозволяє за кілька хвилин зламати цільову систему і встановити бекдор для віддаленого управління комп'ютером.

У компанії Microsoft провели аналіз експлойтів і заявили , Що уразливості в протоколі SMB версії c 1-3, експлуатовані інструментами EternalBlue, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar і EternalSynergy, вже були виправлені в попередні роки, деякі усунені в нинішньому році (CVE-2017-0146 і CVE-2017 -0147).

Патч для уразливості в контролерах домену, що працюють під управлінням Windows 2000, 2003, 2008 і 2008 R2, експлуатованої інструментом EsikmoRoll, був випущений ще три роки тому, в 2014 році.

Як відзначили в компанії, інструменти EnglishmanDentist, EsteemAudit і ExplodingCan не працюють на підтримуваних версіях Windows, тому патчі для них випускатися не будуть. Уразливість, використана шифрувальником WannaCry, є тільки в Windows - інші операційні системи (в тому числі Linux, macOS, Android) не постраждали. Але розслаблятися не варто - в цих ОС є свої уразливості.

Потрібно відзначити, що для ряду застарілих систем (Windows XP, Windows Server 2003, Windows 8), знятих з підтримки, Microsoft випустила екстрені поновлення .

Питання користувача. «Мій поточний особистий ноутбук, що працює на" Windows 7 Домашня розширена ", різного роду патчі встановлює автоматично, коли я його вимикаю ...

Та й наявний у мене W10-планшет автоматично ставить нові патчі при його включенні ... Невже корпоративні настільні ПК не оновлюється свої ОС автоматично при включенні або виключенні? »Дійсно - чому?

Через деякий час повний набір експлойтів був викладений у відкритий доступ разом з навчальними відео. Скористатися ним може будь-хто. Що і сталося. У наборі експлойтів є інструмент DoublePulsar. При відкритому 445 порте і не встановленому оновленні MS 17-010, з використанням уразливості класу Remote code execution (можливість зараження комп'ютера віддалено (експлойт NSA EternalBlue)), можливо перехоплювати системні виклики і впроваджувати в пам'ять шкідливий код. Не потрібно отримувати ніякого електронного листа - якщо у вас комп'ютер з доступом в інтернет, з запущеним сервісом SMBv1 і без встановленого патча MS17-010, то атакуючий знайде вас сам (наприклад, перебором адрес).

аналіз WannaCry

Троянець WannaCry (він же WannaCrypt) шифрує файли з певними розширеннями на комп'ютері і вимагає викуп - 300 доларів США в біткоіни. На виплату дається три дні, потім сума подвоюється.

Для шифрування використовується американський алгоритм AЕS з 128-бітовим ключем.

У тестовому режимі шифрування проводиться за допомогою зашитого в троянця другого RSA-ключа. У зв'язку з цим розшифровка тестових файлів можлива.

У процесі шифрування випадковим чином вибирається кілька файлів. Їх троянець пропонує розшифрувати безкоштовно, щоб жертва переконалася в можливості розшифровки решти після виплати викупу.

Але ці вибіркові файли і інші шифруються різними ключами. Тому ніякої гарантії розшифровки не існує!

Ознаки зараження WannaCry

Потрапивши на комп'ютер, троянець запускається як системна служба Windows з ім'ям mssecsvc2.0 (видиме ім'я - Microsoft Security Center (2.0) Service).

Черв'як здатний приймати аргументи командного рядка. Якщо вказати принаймні один аргумент, намагається відкрити сервіс mssecsvc2.0 і налаштувати його на перезапуск в разі помилки.

Після запуску намагається перейменувати файл C: \ WINDOWS \ tasksche.exe в C: \ WINDOWS \ qeriuwjhrf, зберігає з ресурсів троянця-енкодера в файл C: \ WINDOWS \ tasksche.exe і запускає його з параметром / i. Під час запуску троян отримує IP-адреса зараженої машини і намагається підключитися до 445 TCP-порту кожного IP-адреси всередині підмережі - здійснює пошук машин в внутрішньої мережі і намагається їх заразити.

Через 24 години після свого запуску в якості системної служби черв'як автоматично завершує роботу.

Для свого поширення шкідливий инициализирует Windows Sockets, CryptoAPI і запускає кілька потоків. Один з них перераховує всі мережеві інтерфейси на зараженому ПК і опитує доступні вузли в локальній мережі, інші генерують випадкові IP-адреси. Черв'як намагається з'єднатися з цими віддаленими вузлами з використанням порту 445. При його доступності в окремому потоці реалізується зараження мережевих вузлів з використанням уразливості в протоколі SMB.

Відразу після запуску черв'як намагається відправити запит на віддалений сервер, домен якого зберігається в троянця. Якщо відповідь на цей запит отримано, він завершує свою роботу.

Епідемію WannaCry вдалося зупинити , Зареєструвавши домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com: до моменту початку розповсюдження троянця він був вільний нібито через помилки зловмисників. Насправді аналіз троянця показує, що він буде працювати і поширюватися на комп'ютерах, що мають доступ до локальної мережі, але не мають підключення до інтернету.

Як і багато інших шифрувальники, новий троянець також видаляє будь-які тіньові копії на комп'ютері жертви, щоб ще сильніше ускладнити відновлення даних. Робиться це за допомогою WMIC.exe, vssadmin.exe і cmd.exe.

Дослідники відзначають, що троянець має модульну архітектуру, що дозволить легко його модифікувати або змінити призначення.

Важливо відзначити, що троянець націлений не тільки на російських користувачів - про це говорить список підтримуваних мов.

m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese

Автор шифрувальника невідомий, написати його міг хто завгодно, явних ознак авторства поки не виявлено, за винятком такої інформації:

<Nulldot> 0x1000ef48, 24, BAYEGANSRV \ administrator

<Nulldot> 0x1000ef7a, 13, Smile465666SA

<Nulldot> 0x1000efc0, 19, [Email protected]

<Nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

<Nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion

<Nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1

<Nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

<Nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1

<Nulldot> 0x1000f1b4, 12, 00000000.eky

<Nulldot> 0x1000f270, 12, 00000000.pky

<Nulldot> 0x1000f2a4, 12, 00000000.res

Захист від WannaCrypt і інших шифрувальників

Для захисту від шифрувальника WannaCry і його майбутніх модифікацій необхідно:

1. Вимикайте сервіси, включаючи SMB v1.

• Вимкнути SMBv1 можливо використовуючи PowerShell:
  Set-SmbServerConfiguration -EnableSMB1Protocol $ false
• Через реєстр:
  HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters, параметр SMB1 типу DWORD = 0
• Можна також видалити сам сервіс, який відповідає за SMBv1 (так, за нього особисто відповідає окремий від SMBv2-сервіс):
  sc.exe config lanmanworkstation depend = bowser / mrxsmb20 / nsi
  sc.exe config mrxsmb10 start = disabled

1. Закрити за допомогою брандмауера невикористовувані мережеві порти, включаючи порти 135, 137, 138, 139, 445 (порти SMB).

Малюнок 2. Приклад блокування 445 порту за допомогою брандмауера Windows

Малюнок 3. Приклад блокування 445 порту за допомогою брандмауера Windows

1. Обмежити за допомогою антивірусу або брандмауера доступ додатків в інтернет.

Малюнок 4. Приклад обмеження доступу в інтернет з додатком за допомогою брандмауера Windows

Малюнок 5. Приклад обмеження доступу в інтернет з додатком за допомогою брандмауера Windows

1. Після відключення вразливих сервісів встановити останні оновлення (як мінімум, Microsoft Security Bulletin MS17-010 або патч для Windows XP , Windows Server 2003 R 2 ).
2. Не застосовувати препарат зняті Microsoft з підтримки старі версії операційної системи Windows, особливо Windows XP.
3. Контролювати і блокувати трафік до вузлів мережі Tor, які часто використовуються шифрувальником і іншими шкідливими програмами.
4. Використовувати резервне копіювання даних, як на зовнішні, так і на віддалені сховища (Тест систем резервного копіювання і відновлення даних) .

Малюнок 6. Створення резервних копій за допомогою штатних засобів Windows

Для захисту від шифрувальників (включаючи WannaCry) необхідно не допускати помилок в організації антивірусного захисту

1. Чи не виключати з перевірки використовувані додатки і диски.
2. Вчасно продовжувати ліцензію і оновлювати антивірус.
3. Використовувати проактивний захист, антиспам і контроль програм.
4. Обмежити доступ до потенційно небезпечних веб-сайтів, використовуючи веб-фільтрацію.
5. Заборонити відключення антивіруса.

висновки

Епідемія закінчена? Навряд чи.

Хакерська група The Shadow Brokers, яка взяла на себе відповідальність за викрадення шпигунських програм Агентства національної безпеки (АНБ) США, у вівторок, 16 травня оголосила про запуск платного сервісу The Shadow Brokers Data Dump of the Month.

Даний сервіс щомісяця надаватиме передплатникам нові експлойти для раніше невідомих вразливостей в браузерах, маршрутизаторах, мобільних пристроях, Windows 10, а також дані, викрадені з банківської системи SWIFT, і інформацію, пов'язану з ядерними програмами Росії, Китаю, Ірану та КНДР.

Варто відзначити, що в даний з'являються нові модифікації WannaCry, а використовувані операційні системи навряд чи незабаром оновлять.

Так що все тільки починається!