13 мая в 11:03

Познакомимся с WannaCry поближе из песочницы

Атака программы-вымогателя нанесла ущерб многим компаниям и организациям по всему миру, включая испанскую телекоммуникационную компанию Telefonica, больницы в Великобритании и американскую компанию доставки FedEx. Вредоносная программа, относящаяся к классу криптовымогателей, стала известна как «WannaCry».

Вредонос умеет по TCP сканировать 445 порт (Server Message Block/SMB) и распространяться, как червь, атакуя хосты и зашифровывая файлы, которые на них находятся. После чего он требует перечислить какое-то количество биткойнов за расшифровку.

В связи с этой атакой, всем организациям рекомендовалось убедиться, что на их компьютерах, работающих на Windows установлены последние обновления. Также на них должны быть закрыты порты 139 и 445 для внешнего доступа. Порты используются протоколом SMB.

Также надо отметить, что угроза все еще активно исследуется, так что ситуация может меняться в зависимости от реакции злоумышленников на действия специалистов по компьютерной безопасности.

ДЕТАЛИ КАМПАНИИ

Мы наблюдали всплеск при сканировании наших «интернет-приманок», который начался почти в 5 утра по EST (9 утра по UTC).

image

ИНФРАСТРУКТУРНЫЙ АНАЛИЗ

Исследователи из Cisco Umbrella первыми заметили запросы к домену-выключателю (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com), которые начались в 07:24 UTC, а всего через 10 часов количество запросов уже превышало 1400 в час (прим. перев.: видимо, речь идет о запросах на их сервисе).

image

Доменное имя выглядит, как составленное человеком, так как большинство символов находятся на соседних рядах клавиатуры.

Этот домен можно назвать выключателем, исходя из его роли в выполнении зловреда:

image

Приведенный выше код делает попытку GET-запроса к домену и, в случае неудачи, продолжает распространение. Если запрос удачный, то программа завершается. Сейчас домен зарегистрирован на известную DNS воронку, что заставляет прервать зловредное действие.

От переводчика: C&C домен специально был зарегистрирован, согласно твиттеру компании MalwareTech, чтобы остановить или приостановить распространение малвари.

АНАЛИЗ ЗЛОВРЕДА

Изначальный файл mssecsvc.exe запускает другой файл с названием tasksche.exe. Затем проверяется домен-выключатель, после чего создается служба mssecsvc2.0. Эта служба исполняет файл mssecsvc.exe с иной точкой входа, нежели во время первого запуска. Второй запуск получает IP-адрес зараженной машины и пытается подключиться к 445 TCP порту каждого IP-адреса внутри подсети. Когда зловред успешно подключается к удаленной машине, то устанавливается соединение и происходит передача данных. Судя по всему, где-то в процессе этой передачи используется известная уязвимость, которая была закрыта обновлением MS 17-010. На данный момент нету полного понимания трафика SMB, и при каких именно условиях зловред может распространяться, используя дыру в безопасности.

Файл tasksche.exe проверяет все диски, а также расшаренные по сети папки и подсоединенные устройства, которые привязаны к буквам, вроде 'C:/', 'D:/' и т.д. Малварь затем ищет файлы с расширениями, которые перечислены в программе (и приведены ниже), и шифрует их, используя 2048-битное RSA шифрование. Пока файлы шифруются, создается папка 'Tor/', куда кладется файл tor.exe и 9 файлов dll, которые он использует. Дополнительно создаются taskdl.exe и taskse.exe. Первый из них удаляет временные файлы, а второй запускает @wanadecryptor@.exe, который показывает пользователю окно с требованием заплатить. Файл @wanadecryptor@.exe отвечает только за вывод сообщения. Шифрование файлов происходит в фоне с помощью tasksche.exe.

Файл tor.exe запускается с помощью @wanadecryptor@.exe. Этот новый процесс начинает соединение с узлами Tor. Таким образом WannaCry сохраняет анонимность, проводя весь свой трафик через сеть Tor.

Что типично для программ-вымогателей, программа также удаляет любые теневые копии на компьютере жертвы, чтобы сделать восстановление еще более сложным. Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe

image

WannaCry использует различные способы, чтобы помочь своему выполнению. Так оно используется attrib.exe, чтобы менять флаг +h (скрытие), а также icacls.exe, чтобы дать полные права всем юзерам: «icacls. /grant Everyone:F /T /C /Q».

Примечательно, что программа имеет модульную архитектуру. Вероятно, что все исполняемые файлы в ней написаны разными людьми. Потенциально, это может значить, что структура программы может позволять запускать различные зловредные сценарии.

После завершения шифрования, вредоносная программа показывает окно с требованием выкупа за файлы. Интересный момент заключается в том, что окно является исполняемым файлом, а не картинкой, файлом HTA или текстовым файлом.

image

Жертвам следует понимать, что не существует обязательства преступников действительно предоставить ключи для расшифровки после оплаты выкупа.

КАК БОРОТЬСЯ

Для борьбы с данным зловредом есть две рекомендации:

  • Убедиться, что все компьютеры, использующие Windows имею последнее обновление. Как минимум, обновление MS17-010.
  • В соответствии с лучшими практикам, любая организация, в которой публично доступен SMB (порты 139, 445), должны немедленно заблокировать входящий трафик

Индикаторы поражения

Имена файлов:

  • d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa b.wnry
  • 402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c r.wnry
  • e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b s.wnry
  • 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 taskdl.exe
  • 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d taskse.exe
  • 97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6 t.wnry
  • b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 u.wnry

Используемые IP:

  • 188[.]166[.]23[.]127:443
  • 193[.]23[.]244[.]244:443
  • 2[.]3[.]69[.]209:9001
  • 146[.]0[.]32[.]144:9001
  • 50[.]7[.]161[.]218:9001
  • 217.79.179[.]77
  • 128.31.0[.]39
  • 213.61.66[.]116
  • 212.47.232[.]237
  • 81.30.158[.]223
  • 79.172.193[.]32
  • 89.45.235[.]21
  • 38.229.72[.]16
  • 188.138.33[.]220

Расширения, шифруемых файлов:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

Источник
Кирилл Аношко @Kirylka
карма
7,0
рейтинг 36,1
Веб-разработчик
Похожие публикации
Самое читаемое Разработка

Комментарии (68)

  • –2
    Не самая на мой взгляд обширная статья для перевода.
    • +6

      Лучшее, что я нашёл в 2 часа ночи. Хотел оперативней сделать, пока тема горячая, учитывая, что нужно было ещё пройти модерацию.

  • 0
    с локалкой то все ясно, а как оно по интернету ходит?
    • 0
      публично доступен SMB (порты 139, 445)

      вероятно речь про проброс портов

  • –17
    Удивлен, что в серьёзных организациях на важных для бизнеса машинах (сервера/БД) используется ОС windows.
    Ну хоть будет уроком на будущее.
    • +8
      проблема даже не в винде, а в том что она не обновляется месяцами ато и годами
    • +1
      Ещё больше удивитесь в том как вообще это всё работает, если заглянете в такую сеть))
    • +1
      Удивлен, что в серьезных организациях на важных для бизнеса машинах не установлена обновление которому уже месяц.
      • +5
        После того, как с десяткой трэш и угар творился — у людей, и тем более компаний, аллергия на установку свежих обновлений.
        • –2
          Если люди сами не могут поставить нужные и запретить установку не нужных обновлений — то должны обратиться для этого к специалистам.
          А если специалист считает, что обновления для софта (особенно если это Windows, но к *nix или ios это тоже относится) ставить не нужно — то это не специалист.
          • 0
            Я помню как-то был пик зараженности с вирусом передающимся по флешкам, годков эдак 4-5 назад. Честно говоря не помню как он назывался, кажется он подражал системному файлу с раскладкой клавиатуры. У меня, на тот момент, было под аутсорс обслуживанием 200+ пумпуртеров в 20 средних-мелких компаниях(кто обслуживал такое понимает батхерд разнообразия), и ни один не был заражен! Да, я мухлевал — ставил пробные антивирусы, дефендеры виндоус, делал обновления в компаниях не покупавших ос для бизнеса, но не было ни одного заражения! Почему? Потому что даже примитивные антивирусы его ловили и майкрософт исправил баг за пару недель до пика активности вируса.
            И вывод, как и в сегодняшней проблеме, простой — виновником проблем с пумпуртерами в 99,1% является рукожопство «админя», а вовсе не «проклятые мелкомягкие».
      • 0
        У Вин про есть даже галочка «отложенные обновления», чтобы не сразу обновлять, а попозже, вероятно, чтобы избежать неловких ситуаций, когда после обновления все поломалось и не работает. Плюс нельзя в серьезной огрганизации взять и накатить обновление, сначала надо все стопицот приложений протестировать, что не поломаются.
        • 0
          Вы правы. В Вин есть такая галочка, а в WSUS давно есть такая функция. Но МЕСЯЦ Карл! С момента решения проблемы прошел не день, ни два, ни неделя а МЕСЯЦ!
          Я вижу только одну проблему — человеческий фактор. Почему? Потому что на примитивный запрос «защитник виндовс WannaCry», даже сейчас, в тренде идет ссылка на «Как отключить Защитник Windows и убрать иконку Защитника в ...». ИМХО это показатель
    • +1
      MS Office и Windows является стандартом.
      Чему удивляться?
      • –1
        > MS Office и Windows является стандартом.

        ГОСТ не подскажете?
        Ну или ISO хотя бы.
        • +1
          Скорее уж rfc, я де о всём мире говорю, а не только о рф

          А по сути — дефакто это так
          Статистику по бизнесу я не нашёл, но общемировая статистика говорит, что я прав
          http://www.itrew.ru/windows/statistika-operacionnykh-sistem-za-ap.html
    • 0
      Я скажу больше) в серьезных организациях лоббируют микрософт-продукты, по «причине» снижения расходов на спецов. Дешевле нанять школьника с сертификатами на право расстановки галочек в гуи, чем держать дорогого и грамотного спеца. Ну и финпроекты дорогие) Сам свидетель нескольких отказов руководства от уже стабильных и налаженных unix-систем.
    • –1
      Ребят, а зачем дизлайкать? Разве в данной ситуации не очевидно, что windows системы куда более уязвимы, чем unix?
      • 0
        А смысл этого вируса под linux/unix desktop? Уязвимость где угодно можно найти, был бы смысл. Ну заразят ubuntu (и все клоны) desktop, например, через найденую уязвимость — это будет 1% всех пользователей пк. Имел бы линукс десктоп такой же процент пользователей, как сейчас на винде — было бы такое же количество вирусов под линукс.
        • 0
          А почему вы о десктопе говорите?
          Заражать сервера разве не выгодно?
          Почему нет вирусов для заражения серверов?
          • 0
            Типовые сценарии — вымогательство шифровальщиком денег или кража аут. данных с последующей кражей денег со счетов. Шифрование данных — чем шире охват, тем лучше, больше прибыль. Деньги с личных счетов на серверах не переводят. Квалификация среднего «оператора» тоже позволяет на десктопе себя вольготнее чувствовать всякой дряни. Остается какой-нибудь промышленный шпионаж, целевая кража данных, это тоже мизерный сегмент.
          • 0
            вы сейчас, это серьезно?
            https://en.wikipedia.org/wiki/Linux_malware
        • –5
          Архитектура UNIX систем более устойчива к вредоносному ПО — не получится так просто взять и без ведома пользователя (и без sudo) переписать важные для работы системы файлы. Так что тут вопрос не только в количестве пользователей.
          • +2
            В NT мире тоже есть, знаете ли, разграничение по правам доступа к файлам.
          • +5
            Вы хоть сами понимаете насколько ваше утверждение ложно?
            sudo по сути не даст вам никакой защиты.
            Ну отлично, после шифровальщика у вас сохранятся все системные файлы! Они ж такие ценные, ведь система аж 20 минут с нуля устанавлвиается!
            А вот все пользовательские данные будут благополучно зашифрованы без всяких рут прав.
          • +2

            И чем же она более устойчива? Разве в винде без прав администратора можно переписать важные для системы файлы? Если уязвимость в процессе который работает с повышенными правами, то и remote code execution будет с повышенными правами. Это одинаково и в линуксе и в винде.


            К тому же криптор не переписывает важные для системы файлы. Как раз таки система должна работать исправно (чтобы отобразить шантажное сообщение). Криптор шифрует пользовательские файлы (курсачи, фоточки, базы mysql и т.д.)

  • 0

    Еще некоторая информация продолжает собираться в этом Gist'е:
    https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

  • 0

    Жесть какая-то. У меня Win 10 с автоматическими обновлениями поэтому пронесло, аминь. Но в виртуалбоксе стоит Win 7 для тестов, естественно сто лет в обед не обновлялась, у виртуального хоста есть доступ к интернет (через роутер по кабелю) Мне интересно, если виртуалка заразиться, то зараза может из гостевой ОС перекинуться в основную?

    • 0
      Виртуалка для этой заразы ничем от основной оси не отличается, если порты проброшены.
    • 0
      то зараза может из гостевой ОС перекинуться в основную?

      Эта не сможет, но дыры в ПО для виртуализации периодически находят.
      • +1

        Сможет, если директории родительской операционки расшарены в гостевой. Этой штуковине все равно, что шифровать, т.к. оно умеет шифровать сетевые шары.

    • 0
      только из-за уязвимостей в виртуалбоксе
    • 0
      так остановили же уже распространение малвари этой сегодня

      https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
      • 0
        Да. Причем почитайте твиттер — сделали это случайно :D

        От переводчика: C&C домен специально был зарегистрирован, согласно твиттеру компании MalwareTech, чтобы остановить или приостановить распространение малвари.
      • +1

        Остановили распространение этой модификации.
        В понедельник выйдет новая версия, с другим доменом. Или вообще без стоп-домена — зачем он?
        Так что только патчиться.

        • –1
          Да, вобщем-то писали, что зачастую для предотвращения реверс-инжениринга малвари используют проверку по нескольким случайно сгенерированным доменным именам. И если все они резолвятся с одного айпишника, то значит малварь запущена в сендбоксе и тогда она не выполняется. Проверять по одному домену к тому же хардкодить его было слегка глупо со стороны разработчиков)
  • 0
    А есть утилита для расшифровки файлов?
    • +1
      Нет. И, кажется, не предвидится.
    • 0
      Походов и вправду не предвидится пока сам создатель не «сольет» мастер-ключ.
      • 0
        Нет у таких вымогателей мастер ключа уже давно. Сейчас у каждого компа свой ключ.
        Поэтому и расшифровщика не будет.
  • +2
    Мне уже пошли ставить обновление на XP, Microsoft подсуетился. :D
    • +2
      Кстати, да, в виде исключения они выпустили Security Update на XPшку тоже. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
    • 0
      А где взять обновление на XP?
      • 0
        http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  • 0
    Везде пишут что используется EternalBlue для заражения, и заражаются все версии без патча. Но он же работает только на Windows 7 и Windows Server 2008, разве нет? Или у них свой софт?
    • 0
      Кажется, там EternalBlue используется в том числе, то есть используются и другие дыры.
  • +3
    судя по расширениям файлов, червяк писали не «русские» так как 1cd не указан в списке…
    • 0
      удалено
  • +1
    А создатель зловреда держит слово? Происходит ли расшифровка файлов после оплаты? :)
    • +1
      По крайней мере он держит слово насчёт удалении файлов после того как срок оплаты истечет: https://twitter.com/laurilove/status/863116900829724672
  • –1
    зашифровывая файлы, которые на них находятся. После он требует перечислить какое-то количество биткойнов за расшифровку.

    В России уже ввели обещанную уголовку за использование Бит-Коинов?

    • 0

      Поясню свой вопрос: того кто заплатит выкуп в биткоинах вымогателю, не посадят за "незаконный оборот денежных средств"?

      • –1
        Биткоины не деньги, на них права через суд не докажешь, так что какие-такие незаконные обороты.
        Махинации с виртуальными денежными знаками и имущественными правами в виртуале если и принимаются расследовать, то расследуют как мошеннические действия, направленные на хищения реальных средств.
        Банки легко подают в суды, в случае поимки авторов вирусных атак. Информации, об удачных исках на возмещение ущерба частных лиц, не попадалось.
      • 0
        нет. биткоин пока не запрещен. но по последним действиям его скорее всего легализуют
    • 0
      Вы всё проспали. «В России полностью отказались от идеи вводить уголовную ответственность за изготовление и использование виртуальных денег. При этом в августе прошлого года на Новом Арбате даже появился первый обменный пункт виртуальных денег. Сейчас в обменнике доступны только операции по продаже биткоинов, а обмен проводится исключительно в частном порядке. Пункт работает круглосуточно, причем продать биткоины можно как за наличный, так и безналичный расчет.»
  • –1
    Мне всё равно не понятно как он распространяется. Допустим у меня есть локалка, один комп из которой смотрит в инет. Если он заразился, то зловред может зашифровать всё на заражённом компе и с этого компа зашифровать все расшаренные папки на других компах. Это понятно. Но сами-то компы же останутся нормальными? Просто в их сетевых папках «каша» будет. Как он дотянется до несетевых данных на других компах? Как-то через пресловутое MS17-010 что ли? И даже если так, то как он активируется на исходной машине — файл же кто-то запустить всё равно должен — скачать, нажать на энтер как минимум…
    • +2
      Обыкновенная уязвимость класса remote code execution. Отправляем специально сформированное «неправильное» сообщение по сети уязвимой программе (SMB server в данном случае), при его обработке происходит ошибка, результатом этой ошибки становится выполнение находящегося в сообщении (или уже находящегося на атакованной машине) кода. Запустившийся код затем устанавливает на машину зловреда.
      • +1
        А, это RCE. Понятно тогда. Спасибо)
    • +1
      Второй запуск получает IP-адрес зараженной машины и пытается подключиться к 445 TCP порту каждого IP-адреса внутри подсети.


      Причем тут сетевые папки? Червь будет размножать себя в локалке и заразит максимальное количество хостов, у которых 445 открыт и не установлены обновления.
  • +2
    Спасибо за информацию! Мелкая опечатка (можно поправить) в самом конце: не
    Разрешения, шифруемых файлов:
    , а Расширения…
  • 0
    количество запросов уже превышало 1400 в час


    Это число не всего запросов в мире, а только на их сервисе.
    • 0
      Логично. Добавлю, хотя в оригинале это не было специально обозначено.
  • +1
    То, что у вас обозначено в виде управляющих серверов, на самом деле является Entry (Guard)-нодами Tor. Они каждый раз разные.
  • 0
    Добрый день, у Вас в статье два раза повторяется адрес tor:

    188[.]166[.]23[.]127:443
    188[.]166[.]23[.]127:443


    Итого должно быть 14 адресов. Поправьте, пожалуйста.
  • 0
    В новостях сообщения, что по схожести кода, вирус, типа, от северокорейцев.
    Кто-нибудь видел, что там сравнивали, насколько это соответствует истине?
    • 0
      https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/
  • 0
    Господа! Два вопроса! Как WannaCry понимает кто заплатил для расшифровки файлов, если такое имеется и вирус расшифровывает файлы? Второй вариант нужен анализ вируса на виртуалке изолированной от остальной сети. Где скачать оригинал сборки WannaCry ?)))
    • 0
      Не знаю, как именно в нем, но обычно получается так, что файлы шифруются открытым ключом, который так или иначе привязан к идентификатору машины (например, на сервер отправляется закрытый ключ и ИД машины, или просто ИД машины и сервер присылает открытый ключ). При оплате указывается этот ИД, по которому выдается конкретный закрытый ключ для этой машины.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.