Seguridad-Análisis de Ransomware Ciberataque GLOBAL: Ramsoware WannaCry Cesar Farro https://medium.com/@cesarfarro cesar.farro@gmail.com Seguridad - Análisis de Ransomware 1 Who am I: Más (17) años en Seguridad de la Información en los últimos cinco (05) años en el área de Producto. Ingeniero Electrónico por la Universidad Privada del Norte y ha finalizado una maestría en Marketing en la Universidad del Pacífico del Perú. Certificación de Seguridad SANS GIAC Firewall Analyst, SANS GIAC Auditor, Lead Auditor ISO 27001, CheckPoint Administrator, ISS/IBM Security Analyst. Fuentes: (1) https://www.linkedin.com/in/cesar-farro-flores/ Seguridad - Análisis de Ransomware 2 Índice: ● Definición ● Ramsoware antes de Mayo 2017 ● Impacto Global ● Timeline ● Sistema Afectados ● Bitcoins ● Métodos de infección ● Recomendaciones ● Prevención ● Herramienta y Recursos Usados Seguridad - Análisis de Ransomware 3 Definición: Ransomware es un tipo de programa que restringe el acceso a determinados archivos y pide un rescate Bitcoins a cambio de quitar esta restricción. Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. El método de propagación más común es mediante el envío de correos electrónicos maliciosos (1) . Fuentes: (1) https://www.incibe.es/protege-tu-empresa/avisos-seguridad/oleada-ransomware-correos-electronicosc Seguridad - Análisis de Ransomware 4 Fuentes: (1) https://securelist.com/analysis/kaspersky-security-bulletin/76757/kaspersky-security-bulletin-2016-story-of-the-year/ (2) https://blog.kaspersky.com/ransomware-in-targeted-attacks/6728/ (3) https://securelist.com/files/2016/06/KSN_Report_Ransomware_2014-2016_final_ENG.pdf Seguridad - Análisis de Ransomware 5 CryptoLocker, Petya,Revenge Seguridad - Análisis de Ransomware 6 Web Server, Android, blocjed: Seguridad - Análisis de Ransomware 7 Infección, secuencia de pasos: Método de Infección más común utilizando un correo electrónico, ejemplo: Fuentes: (1) https://isc.sans.edu/forums/diary/Merry+XMas+ransomware+from+Sunday+20170108/21905 Seguridad - Análisis de Ransomware 8 Herramientas y Recursos usados: ● Herramientas: ○ SSMA, Simple Static Malware Analyzer, Autor: Lasha Khasaia, https://github.com/secrary ○ IDA PRO, Desensamblador Interactivo. ○ Wireshark, Analizador de paquetes de Red. ○ JPEXS Free Flash Decompiler, Descompilador. ○ Pestudio, Analisis Estático de Malware, https://www.winitor.com/binaries.html ○ TCP View, Regshot, Process Explorer, SysInternals, https://technet.microsoft.com/en- us/sysinternals ● Recursos: ○ http://www.malware-traffic-analysis.net/ ○ https://www.virustotal.com/ ○ https://www.hybrid-analysis.com ○ https://malwr.com/analysis/ ○ http://contagiodump.blogspot.pe/ ○ https://cartilha.cert.br/ransomware/ ● Agradecimientos: ● Lasha Khasaia, https://secrary.com/SSMA ● André R. Landim, CAIS/RNP, https://www.rnp.br/servicos/seguranca ● Geffrey Velasquez, https://pe.linkedin.com/in/geffreyvelasquez ● Carlos Toledo, https://www.linkedin.com/in/cftoledo/ ● Sergio de lo Santos, https://www.elevenpaths.com/es/index.html Seguridad - Análisis de Ransomware 9 Infección, secuencia de pasos: Próximos pasos: Fuentes: (1) https://www.bleepingcomputer.com/news/security/-merry-christmas-ransomware-now-steals-user-private-data-via-diamondfox-malware/ (2) https://isc.sans.edu/forums/diary/Merry+XMas+ransomware+from+Sunday+20170108/21905 Seguridad - Análisis de Ransomware 10 Infección, Analizando: Archivos personales Cifrados: ● Chrysanthemum.RMCM1 ● Desert.jpg.RMCM1 ● Hydranfeas.jpg.RMCM1 ● Jellyfish.jpg.RMCM1 ● Koala.jpg.RMCM1 Registros en Windows: ● Entrada Registry,Notificación Ramsoware aparesca al momento de logearse: YOUR_FILES_ARE_DEAD.HTA Fuentes: (1) https://isc.sans.edu/forums/diary/Merry+XMas+ransomware+from+Sunday+20170108/21905 Seguridad - Análisis de Ransomware 11 Infección, Analizando: Actividad a nivel de conexiones: ● IP LAN -> 192.185.18.204:80: neogenomes.com ● GET /court/PlainNote_12545_copy.zip HTTP/1.1 ● IP LAN -> 81.4.123.67:443:onion1.host 443, pero HTTP/1.1 ● GET /temper/PGPClient.exe HTTP/1.1 ● IP LAN -> 168.235.98.160:443: onion1.pw ● GET/blog/index.php HTTP/1.1 Fuentes: (1) https://isc.sans.edu/forums/diary/Merry+XMas+ransomware+from+Sunday+20170108/21905 Seguridad - Análisis de Ransomware 12 Infección, Analizando: ● Sin protección local y perimetral: ● neogenomes.com (Site Hackeado) ● 192.185.18.204:80: 1 ● GET ● PlainNote_12545_copy.zip ● HTTP/1.1 FW ● onion1.host 2 ● 81.4.123.67:443: ● GET ● temper/PGPClient.exe ● HTTP/1.1 Red LAN de la Empresa 3 ● onion1.pw ● 168.235.98.160:443 ● GET/blog/index.php ● HTTP/1.1 FW Correo Archivos PCs: Windows Click: + Antivirus 1. Zip 2. Word 3. Cifra Base Datos Seguridad - Análisis de Ransomware 13 Revenge Ramsoware: 2017-03-15 CONTACT E-MAILS: EMAIL: rev00@india.com EMAIL: revenge00@writeme.com EMAIL: rev_reserv@india.com ID (PERSONAL IDENTIFICATION): 0123456789ABCDEF ● ZIP archive of the pcap: 2017-03- 15-EITest-Rig-EK-sends-Revenge- ransomware.pcap.zip 1. 2017-03-15-EITest-Rig-EK-sends- Revenge-ransomware.pcap ● ZIP archive of the malware: 2017-03- 15-EITest-Rig-EK-sends-Revenge- ransomware-malware-and-artifacts.zip 1. 2017-03-15-EITest-Rig-EK-flash- exploit.swf 2. 2017-03-15-EITest-Rig-EK-landing- page.txt 3. 2017-03-15-EITest-Rig-EK-payload- Revenge-ransomware-5uhcwesi.exe 4. 2017-03-15-Revenge-Ransomware- decryption-instructions.txt 5. 2017-03-15-page-from- activaclinics.com-with-injected- Fuentes: EITest-script.txt (1) http://www.malware-traffic-analysis.net/2017/03/15/index3.html (2) https://www.youtube.com/watch?v=x6bfGzo1HYI&t=43s Seguridad - Análisis de Ransomware 14 Analizando:2017-05-03 payload-Revenge- ransomware-5uhcwesi.exe Fuentes: (1) https://www.virustotal.com/es/file/8ab65ceef6b8a5d2d0c0fb3ddbe1c1756b5c224bafc8065c161424d63937721c/analysis/1494301758/ (2) https://malwr.com/analysis/YzE1ZmZlY2MxZjllNDNjM2FhNzA1YWU2ZTk3N2JhOTg/ (3) https://www.hybrid- analysis.com/sample/8ab65ceef6b8a5d2d0c0fb3ddbe1c1756b5c224bafc8065c161424d63937721c?environmentId=100 Seguridad - Análisis de Ransomware 15 Revenge Ramsoware, 5uhcwesi.exe ● Filename: 5uhcwesi.exe ● Size: 114KiB (116224 bytes) ● Type: peexe ● Description: PE32 executable (GUI) Intel 80386, for MS Windows ● Architecture: 32 Bit ● SHA256: 8ab65cecc161424d63937721c ● Compiler/Packer: Microsoft visual C++ 8 (2) SSMA Simple Static Malware Analyzer ● Rources, Language: Turkish (1) ● IP: 91.207.7.77 , TCP Port 80, 5uhcwesi.exe PID Asociado: 3620, ASN: 47142 (PP Andrey Kiselev) Fuentes: (1) http://www.malware-traffic-analysis.net/2017/03/15/index3.html (2) https://secrary.com/SSMA Seguridad - Análisis de Ransomware 16 Analizando en la Red: 2017-05-03 payload-Revenge- ransomware-5uhcwesi.exe ● 5uhcwesi.exe ● 191.207.7.77:80 ● POST /imagenes/temp/4gallery/temp/_ reserv/gallery.php FW SHA2: 8ab65ceef6b8a5d2d0c0fb3ddbe1c1756b5c224bafc8065c161424d63937721 c Firewall: Fortinet, W32/Kryptik.FPVS!tr, 20170503 Palo Alto Networks, generic.ml, 20170503 Red LAN de la Pyme Sistema Operativos: Microsoft,Ransom:Win32/FileCryptor, 20170503 ¿ Cómo se da cuenta el Correo Archivos Administrador de Seguridad Antivirus /AntiMalware: PCs: Windows que se trata del mismo Kaspersky, Trojan.Win32.Reconyc.huvf, 20170503 + Antivirus Malwarebytes, Ransom.Revenge,20170503 ramsoware, sí se están McAfee, Trojan-FLTV!3BCEADD4C2C5, 20170503 reportando con diferentes Base Datos AVG, GenericX.1381, 20170503 nombres? ESET-NOD32, Win32/Filecoder.HydraCrypt.G, 20170503 Seguridad - Análisis de Ransomware 17 Iniciativas: 1. Back-up!Back-up!Back-up! 2. Use robust antivirus software 3. Keep all the software on your computer up to date 4. Trust no one. Literally, Never open attachments in emails from someone you dont know. 5. Enable the "Show file extentions" option in the windows settings on your computer. 6. Disconnect immediately from the internet (such as home Wi-Fi) Fuentes: https://www.nomoreransom.org/decryption-tools.html/ http://www.mcafee.com/us/downloads/free-tools/tesladecrypt.aspx Seguridad - Análisis de Ransomware 18 Recomendaciones: ● Cuidado- Concientizar a tus empleados. ● No pagar por el rescate. ● Backup es la solución más efectiva. ● Backup automáticos de acuerdo a la alteración de los datos. ● Tenga actualizado las versiones del Sistema Operativo, Aplicaciones, Base de Datos. ● Tener versiones desactualizadas son potenciales vulnerables. ● Desistale los programas que no usa. ● Use programas originales. ● Instale un Antivirus (Anti Malware) mantenga actualizado de preferencia diariamente. ● Antivirus para validar discos duros y unidades removibles. ● Instale un AntiSpam y configure para verificar archivos adjuntos en correo electrónico, ● Firewall personal y actualizado Fuentes: (1) https://cartilha.cert.br/ransomware/ Seguridad - Análisis de Ransomware 19 Seguridad - Análisis de Ransomware 20 Antes del 12 de Mayo ¿Estábamos listos para lo que venía? Seguridad - Análisis de Ransomware 21 WannaCry - Viernes 12 de Mayo Fuente: https://www.nytimes.com/interactive/2017/05/12/world/europe/wannacry-ransomware-map.html?_r=0 Seguridad - Análisis de Ransomware 22 WannaCry - Países y Entidades Afectadas Fuente: http://www.laprensa.hn/mundo/1070719-410/empresas-malware-wannacry-ciberataque-global Seguridad - Análisis de Ransomware 23 Fuente: https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all Seguridad - Análisis de Ransomware 24 WannaCry - Ramsoware ● Es un malware que afecta Windows el cual cifra archivos y solicita un pago en Bitcoins, este ataque empezó el viernes 12 de mayo, +200,000 victimas, + 150 países, se propaga por medio del puerto 445/TCP (SMB). ● Aprovecha una Vulnerabilidad: CVE-2017–0145 ● Permite que atacantes remotos ejecuten código arbitrario vía paquetes creados con mala intención aprovechando una vulnerabilidad en el servicio SMB de Microsoft. Fuente: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0145 Fuente: https://www.thesun.co.uk/tech/3562470/wannacry-ransomware-nhs-cyber-attack-hackers/ Seguridad - Análisis de Ransomware 25 WannaCry - Ramsoware Fuente: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0145 Fuente: https://www.thesun.co.uk/tech/3562470/wannacry-ransomware-nhs-cyber-attack-hackers/ Seguridad - Análisis de Ransomware 26 NSA desarrollaba Exploits: “Cyber Weapons” Equation Group. Fuente: Seguridad - Análisis de Ransomware 27 ShadowBrokers hacks NSA Fuente:https://en.wikipedia.org/wiki/Equation_Group Seguridad - Análisis de Ransomware 28 WannaCry - Timeline, resumen Agosto 2016 14 de Marzo 14 de Abril 12 de Mayo 13 de Mayo ShadowBrokers Microsoft publica Shadow Brokers WannaCry, Microsoft publica 18 Boletines, MS17-010, Publica Exploits afecto parches ejecución remota de código +200k Pcs, Windows XP Server Message Block 1.0. +150 Paises Windows 8 aprovecha: Winsows Server CVE-2017–0145 2003 27 de Junio 13 de Junio Peyta Ramsoware Microsoft Security usa exploit SMS/Eternalblue Advisory 4025685 cifrados con AES-128bits. Adobe Security Bulletin Modifica MBR(Master Boot Record) y APSB17-17 habilita la encriptación de MFT(Master File Table), Luego reinicia la máquina. Fuente: https://technet.microsoft.com /en-us/library/security/ms17-010.aspx Fuente: https://github.com/misterch0c/shadowbroker/ Fuente: https://twitter.com/shadowbrokerss/with_replies Seguridad - Análisis de Ransomware 29 Fuente: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Seguridad - Análisis de Ransomware 30 Fuente: https://github.com/misterch0c/shadowbroker/ Seguridad - Análisis de Ransomware 31 Fente: https://github.com/misterch0c/shadowbroker/ Seguridad - Análisis de Ransomware 32 Fente: https://github.com/misterch0c/shadowbroker/ Seguridad - Análisis de Ransomware 33 Fuente: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Seguridad - Análisis de Ransomware 34 Exploits - -> Microsoft 13 de Junio, 2017 ● EternalBlue SMB exploit → WannaCry ransomware attack, para diferente versiones de Windows. ● Pero la compañia, dejo tres Windows zero-day exploits unpatched?, Windows Hacking Tools: ○ "EsteemAudit," ○ "ExplodingCan," ○ "EnglishmanDentist," ● EsteemAudit, peligroso Windows Hacking tool, RDP Microsoft Windows Server 2003 and Windows XP machines, ● ExplodingCan, explota un bug de IIS 6.0. ● EnglishmanDentist, explota Microsoft Exchange servers. Fuente: http://thehackernews.com/2017/06/important-windows-updates.html Seguridad - Análisis de Ransomware 35 Microsoft,publica: 13 de Junio, 2017 ● Microsoft blog post, the critical down- level patches for three Windows exploits were prompted by an "elevated risk of destructive cyberattacks" by government organizations, referred to as "nation-state actors or other copycat ● orTghaen sizeactuiornitsy .p atches for Windows XP, Vista, and Server 2003 contain fixes or mitigations for three alleged NSA-developed exploits — EsteemAudit, ExplodingCan, and EnglishmanDentist Fuente: https://technet.microsoft.com/en-us/library/security/4025685.aspx Seguridad - Análisis de Ransomware 36 WannaCry - Sistemas afectados 1. Windows Vista 2. Windows Server 2008 3. Windows 7 4. Windows Server 2008 R2 5. Windows 8.1 6. Windows Server 2012 7. Windows Server 2012 R2 8. Windows RT 8.1 9. Windows 10 10. Windows Server 2016 Fuente: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Seguridad - Análisis de Ransomware 37 WannaCry - ScreenShots Seguridad - Análisis de Ransomware 38 WannaCry - Bitcoins Fuente: https://bitcointalk.org/index.php?topic=1916199.0 Fuente: http://howmuchwannacrypaidthehacker.com/index.php Seguridad - Análisis de Ransomware 39 WannaCry - Bitcoins Fuente: https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw Fuente: https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn Fuente: http://howmuchwannacrypaidthehacker.com/index.php Seguridad - Análisis de Ransomware 40 WannaCry - Método de Infección ● Se está realizando por medio de SPAM masivo, correo electrónico o a través de una memoria USB de manera directa a tu computadora. ● Una vez que abres el archivo adjunto, automáticamente ejecuta el malware el cual genera dos acciones: ● Busca otras computadoras con el sistema operativo Windows que están vulnerables y ya no sería necesario enviar un correo o hacer otra acción adicional para su ejecución. ● Desde la computadora windows infectada realiza una conexión hacia servidores que están en Internet llamados C&C (Command & Control) estos servidores sirven para descargarse otros componentes/payload. Fuente: https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt Seguridad - Análisis de Ransomware 41 WannaCry - Instalación Una vez que tu computadora está infectado se intentará conectar a Internet hacia: “xxx.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” al puerto 80. Luego crea el siguiente archivo y servicio: ● %SystemRoot% \tasksche.exe ● mssecsvc2.0 Fuen te: https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt Seguridad - Análisis de Ransomware 42 WannaCry - Files 123 .jpeg .rb .cs .odt .tiff .602 .jpg .rtf .csr .onetoc2 .txt .doc .js .sch .csv .ost .uop .3dm .jsp .sh .db .otg .uot .3ds .key .sldm .dbf .otp .vb .3g2 .lay .sldm .dch .ots .vbs .3gp .lay6 .sldx .der” .ott .vcd .7z .ldf .slk .dif .p12 .vdi .accdb .m3u .sln .dip .PAQ .vmdk .aes .m4u .snt .djvu .pas .vmx .ai .max .sql .docb .pdf .vob .ARC .mdb .sqlite3 .docm .pem .vsd .asc .mdf .sqlitedb .docx .pfx .vsdx .asf .mid .stc .dot .php .wav .asm .mkv .std .dotm .pl .wb2 .asp .mml .sti .dotx .png .wk1 .avi .mov .stw .dwg .pot .wks .backup .mp3 .suo .edb .potm .wma .bak .mp4 .svg .eml .potx .wmv .bat .mpeg .swf .fla .ppam .xlc .bmp .mpg .sxc .flv .pps .xlm .brd .msg .sxd .frm .ppsm .xls .bz2 .myd .sxi .gif .ppsx .xlsb .c .myi .sxm .gpg .ppt .xlsm .cgm .nef .sxw .gz .pptm .xlsx .class .odb .tar .h .pptx .xlt .cmd .odg .tbk .hwp .ps1 .xltm .cpp .odp .tgz .ibd .psd .xltx .crt .ods .tif .iso .pst .xlw .jar .rar .zip .java .raw Fuente: https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt Seguridad - Análisis de Ransomware 43 WannaCry - Prevención 1.Aplicar el Parche MS17-010 2.Aislar los equipos Infectados 3.Desactivar el servicio SMBv1. 4.Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones. 5.Bloquear los puertos Netbios desde Internet 6.Bloquear el acceso a la red TOR Fuente: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/importante-oleada-ransomware-afecta-multitud-equipos Seguridad - Análisis de Ransomware 44 Recomendaciones: 1. Aplicar el Parche MS17–010 para mitigar la vulnerabilidad SMB del 14 de Mayo en sistemas operativos Windows. 2. Afinar las políticas del Antispam (instalado localmente o como servicio) para ayude a identificar y bloquear malware, phishing sobre correo electrónico. 3. Escanear correo electrónico de entrada, salida para detectar y bloquear archivos ejecutables con destino usuarios finales a nivel de Gateway y usuario final. 4. Habilitar un Scan automático Antivirus, Antimalware a nivel de PC, Servidor, UTM (Scan Antivirus para Trafico de Navegación HTTP, HTTPS, DNS), etc. 5. Implementar el principio: “Mínimo Privilegio/Menor Autoridad”. Los usuarios no debería tener acceso como Super usuario (Administrador/Windows, root/Unix, Linux, sa,admin/Cisco/Huawei ) para sistemas operativos, Aplicaciones, Dispositivos de red, Firewalls, etc. 6. Deshabilitar Macros/Scripts en Microsoft Office. 7. Desarrollar un programa de Concientización en los usuarios finales para que noingresen en links maliciosos, no abran adjuntos con archivos de dudosa procedencia.. Fuente: https://www.us-cert.gov/ncas/alerts/TA17-181A Seguridad - Análisis de Ransomware 45 Recomendaciones: 8. Los usuarios finales deben tener un canal “Oficial” de reporte ante un Incidente de Seguridad 24x7 debería existir punto de contacto oficial: repore.Incidente@empresa.com y número de teléfono. 9. Regularmente realizar un Pentesting a tus servicios públicos, red LAN/WAN por lo menos 1 vez al año. 10. Probar tus Backups, y asegura que estén trabajando adecuadamente, los backups desarrollarlos en dispositivos que no estén conectados a la red. 11. Utilizar Firewalls o IDS Host a nivel de Servidores para protección de un ataque desde Internet y desde la red Interna por un empleado. 12. Deshabilitar servicios innecesarios en tus sistemas que no usas, para el caso de Ramsoware WannaCry y Petya desabilitar SMBv1. Fuente: https://www.us-cert.gov/ncas/alerts/TA17-181A Seguridad - Análisis de Ransomware 46 Recomendaciones: 13. En tu firewall perimetral, bloquea TCP 445, TCP/UDP 137,138, y TCP 339 tráfico de Internet hacia la red de la empresa. 14. Segmentar la red de usuarios con la red de los servidores de la empresa, tratando de que si hay una intrusión este aislado el incidente. 15. Hardenización de PCs, Servidores Críticos, Red Switches de Core, Switches de Distribución, apoyarse del fabricante, soporte del integrador para mejorar la seguridad de cada sistema y mejores practicas de la Industria por ejemplo SANS Reading Room, Grupos de Usuarios de los sistemas que usan en tu empresa. 16. Realizar administración de los equipos críticos fuera de banda, por si se cae la comunicación principal se cae. 17. Contar con herramientas de Monitoreo de los fabricantes y Open Source que permitan ver el Trafico, Conexiones, Intentos de Ataques de Red, Falsos Positivos, Logs de los Servidores, Firewall, IPS/IDS, PCs, etc, Es decir tener un Panel de Control con la Visibilidad de la red de la Empresa. Fuente: https://www.us-cert.gov/ncas/alerts/TA17-181A Seguridad - Análisis de Ransomware 47