Az SMB sérülékenységet kihasználó WannaCry Ransomware kampány

Összefoglaló:

Egy kiterjedt zsarolóvírus kampány észlelhető 2017. május 12-e óta. A célba juttatott kód (payload) a WannaCry zsarolóprogram (ransomware) egy variánsa. A célba juttatás módjában történt továbbfejlesztés, amellyel a Microsoft Windows nemrég felfedezett SMB sérülékenységeit kihasználva a malware képes további rendszereket megfertőzni a lokális hálózaton [1, 2, 3] (CVE-2017-0143 - CVE-2017-0148).

A sérülékenységeket kihasználó kód (EternalBlue kódnéven) a ShadowBrokers néven ismertté vált csoport által került ki az Internetre 2017. április 14-én, és a Microsoft március 14-ével javította az MS17-010 [3] javítócsomag részeként.

Úgy tűnik, hogy a javítócsomagot számos szervezet nem telepítette még. A tájékoztató megjelenésekor több tízezer számítógép volt fertőzött világszerte, köztük a spanyol Telefonica [4] és az Egyesült Királyságbeli NHS egészségügyi intézményei [5] által üzemeltetett gépekkel.

Technikai részletek:

Bár csak korlátozott információ áll rendelkezésre a kezdeti támadási vektorról, az első jelek leginkább egy spear-phishing kampányra utalnak, amelyben JavaScript és PowerShell kódot alkalmazó makrókkal ellátott MS Office dokumentumot terjesztenek csatolmányként. Míg a hasonló kampányok általánosak és széles körben elterjedtek, úgy tűnik, hogy ezen esetben az igen magas érintettség a Microsoft Windows nemrég felfedezett, SMB protokollbeli sérülékenységét kihasználó „exploit” kód alkalmazásának köszönhető [1, 2, 3].

A WannaCry kódjában kutatók találtak egy „kill switch”-et, melyet feltételezhetően a készítő rakott bele, arra az esetre, ha a terjedést szeretné megállítani. A zsarolóvírus egy hosszú névvel rendelkező domain-t (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) próbál megszólítani és a kapcsolódás sikere esetén kilép. A kódot felfedező kutatók ezt a domain-t regisztrálták, így ezen variáns újabb rendszereken kárt nem okoz, és a felállított környezettel adatokat is tudnak gyűjteni a fertőződött gépekről. A megoldás sajátossága, hogy olyan környezetből, ahonnan csak proxy-n keresztül lehet megszólítani az Interneten lévő szerverek 80-as portját, ez a "kill-switch" funkció nem segít. Időközben már olyan variánsról is jelent meg riport, amelyben ez a kikapcsoló funkció nincs benne.

Május 16-áig már 4 ilyen domain is ismertté vált:

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com
lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea[.]com

Ha akár egyetlen számítógép is fertőződik egy lokális hálózaton, a malware automatikusan képes terjedni az SMB protokoll használatával a 137 és 138-as UDP, valamint a 139 és 445-ös TCP porton keresztül. Fontos megjegyezni, hogy ez által a nem frissített, SMB protokoll használatát elérhetővé tevő számítógépek az Interneten közvetlenül fertőződhetnek, minden egyéb célba juttatási mechanizmus nélkül. Elég, ha el vannak indítva és fogadják a kapcsolódást SMB protokollon keresztül.

A támadásokban használt malware titkosítja a fájlokat és egy visszafejtéshez használható eszközt (decryptor tool) is letölt. Ezt követően 300 dollár körüli összeget követel Bitcoin-ban a visszafejtéshez használható kódért cserébe. A dekódoló szoftver felhasználói felülete több nyelvet támogat. A C&C szerver eléréséhez a malware a Tor hálózatot használja. További részletek a [2]-es hivatkozáson találhatóak.

Annak érdekében, hogy minél nagyobb kárt tudjon okozni, a titkosítást megelőzően a malware az MS Exchange-hez illetve adatbázis szerverekhez köthető folyamatokat is leállít.

A malware által letitkosítandó fájlok kiterjesztései [2]:

  • Általánosan használt office dokumentumok ( .ppt , .doc , .docx , .xlsx , .sxi ).
  • Kevésbé gyakori, nemzeti specifikus office formátumok ( .sxw , .odt , .hwp ).
  • Archív és média fájlok ( .zip , .rar , .tar , .bz2 , .mp4 , .mkv ).
  • E-mail-ek és e-mail adatbázisok ( .eml , .msg , .ost , .pst , .edb ).
  • Adatbázis fájlok ( .sql , .accdb , .mdb , .dbf , .odb , .myd ).
  • Fejlesztők forráskódjai illetve projekt fájljai ( .php , .java , .cpp , .pas , .asm ).
  • Titkosító kulcsok és tanúsítványok ( .key , .pfx , .pem , .p12 , .csr , .gpg , .aes ).
  • Grafikai szoftverek, fotósok által használt formátumok ( .vsd , .odg , .raw , .nef , .svg , .psd ).
  • Virtuális gépek fájljai ( .vmx , .vmdk , .vdi ).

A támadással összefüggésbe hozható C&C szerverek címei [8]

  • 188[.]166[.]23[.]127
  • 193[.]23[.]244[.]244
  • 2[.]3[.]69[.]209
  • 146[.]0[.]32[.]144
  • 50[.]7[.]161[.]218
  • 217.79.179[.]77
  • 128.31.0[.]39
  • 213.61.66[.]116
  • 212.47.232[.]237
  • 81.30.158[.]223
  • 79.172.193[.]32
  • 89.45.235[.]21
  • 38.229.72[.]16
  • 188.138.33[.]220

Érintett termékek: 

Az alábbi termékek érintettek ha a javítás nincs telepítve rajtuk [1, 3]:

  • Microsoft Windows Vista SP2
  • Microsoft Windows Server 2008 SP2 és R2 SP1
  • Microsoft Windows 7
  • Microsoft Windows 8.1
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server 2012 és R2

A malware már nem támogatott platformokat is támad:

  • Windows XP
  • Microsoft 8
  • Microsoft Server 2003

A Windows 10 nem érintett.

Ajánlások:

Az érintett SMB sérülékenységhez elérhető a javítás a támogatott Microsoft Windows operációs rendszerekhez: Microsoft Security Bulletin MS17-010. A javítócsomag telepítése szükségszerű. Az eset súlyosságára való tekintettel, a Microsoft elérhetővé tette az MS17-010 patch-et a korábbi, már nem támogatott platformokhoz is, mint a Windows XP, Windows 8 és Windows Server 2003. [7]
Az MS17-010 frissítés meglétének ellenőrzéséhez készült segítség elérhető innen: ms17-010_frissites_ellenozrese_vegfelhasznaloknak.pdf

Amennyiben Windows 7 , Windows 8, Windows  8.1, Windows  10 rendszert használ és az UAC valamint az árnyékmásolatok engedélyezve vannak, valószínűleg visszaállíthatóak a titkosított állományok. Ehhez szükséges az hogy a fertőzés kezdetekor a felhasználó ne engedélyezze az UAC felugró ablakot (vagy ne legyen rá joga), mivel a malware nem rendelkezik a megfelelő UAC-t megkerülő kóddal.[10]

Az alábbi intézkedéseket mielőbb életbe kell léptetni: [1]:Frissítés a legfrissebb verzióra, javítási szintre (patch level) a gyártó ajánlásainak megfelelően

  • A rendszer frissítése az MS17-010 patch-el, vagy upgrade Windows 10-re
  • Az SMBv1 tiltása a Microsoft Knowledge Base Article 2696547 sz. cikkben leírtaknak megfelelően
  • Meggondolandó szabály létrehozása a tűzfalon az SMB bejövő forgalom tiltása a 445-ös port irányába
  • Fertőzésgyanús számítógépek beazonosítása, hálózatról történő leválasztása
  • A nem támogatott vagy javítás nélküli rendszerek hálózatról történő leválasztása
  • A potenciálisan fertőzött rendszerek felkutatása a hálózaton, elszigetelésük, frissítésük

Általános szabályként elmondható, hogy a ransomware típusú támadásokkal szembeni leghatásosabb védekezés a gyakori és megbízható mentések készítése.

Fertőzöttség / letitkosított fájlok esetén javasolt a fájlok mentése az érintett számítógép tisztítása előtt, mivel elképzelhető, hogy valamikor a dekódoláshoz szükséges kulcs elérhetővé válik. Arra azonban nincs garancia, hogy ez bármikor bekövetkezik, illetve, hogy a dekódolás sikeres is lesz. Szintén nincs garancia arra, hogy a zsarolók megküldik a kulcsot fizetés fejében. 

Elemzők szerint [9] az alábbi körülmények miatt megkérdőjelezhető, hogy a WannaCrypt fejlesztői képesek lennének ígéretüknek megfelelően visszaállítani a fájlokat:

  • egyetlen jelentés sem érkezett arról, hogy fizetés ellenében bárki kapott volna kulcsot a visszafejtéshez
  • a megszerzett kód elemzése alapján problematikus dekriptáló rendszer
  • problematikus fizetési rendszer, melynél nem látszik, hogy a befizetőt bármilyen módon azonosítani tudnák a fejlesztők
  • megtévesztő demó visszafejtő kód

A malware kezdeti telepítőjének és az általa kibontott további fájloknak hash értékei:

Kezdeti telepítő:

MD5: db349b97c37d22f5ea1d1841e3c89eb4
SHA1: e889544aff85ffaf8b0d0da705105dee7c97fe26
SHA256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

tasksche.exe
MD5: 84c82835a5d21bbcf75a61706d8ab549
SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

taskse.exe
MD5: 8495400F199AC77853C53B5A3F278F3E
SHA256: 2CA2D550E603D74DEDDA03156023135B38DA3630CB014E3D00B1263358C5F00D

taskdl.exe
MD5: 4FEF5E34143E646DBF9907C4374276F5
SHA256: 4A468603FDCB7A2EB5770705898CF9EF37AADE532A7964642ECD705A74794B79

r.wnry
MD5: 3E0020FC529B1C2A061016DD2469BA96
SHA256: 402751FA49E0CB68FE052CB3DB87B05E71C1D950984D339940CF6B29409F2A7C

c.wnry
MD5: C49F0C5AF0DB35062EEC411F0122FDC4
SHA256: 42B8A5A7F47388D4062480480781C42102CF7FE18DD6299021C7894C2C33BA5C

t.wnry
MD5: 5DCAAC857E695A65F5C3EF1441A73A8F
SHA256: 97EBCE49B14C46BEBC9EC2448D00E1E397123B256E2BE9EBA5140688E7BC0AE6

u.wnry
MD5: 5DCAAC857E695A65F5C3EF1441A73A8F
SHA256: B9C5D4339809E0AD9A00D4D3DD26FDF44A32819A54ABF846BB9B560D81391C25

b.wnry
MD5: C17170262312F3BE7027BC2CA825BF0C
SHA256: D5E0E8694DDC0548D8E6B87C83D50F4AB85C1DEBADB106D6A6A794C3E746F4FA

s.wnry
MD5: A0D04DCFE4AD053AC1E4B68EE411C969
SHA256: E18FDD912DFE5B45776E68D578C3AF3547886CF1353D7086C8BEE037436DFF4B

 Hivatkozások:

[1]https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-deransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html

[2]https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacksall-over-the-world/

[3]https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[4]https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign

[5]https://krebsonsecurity.com/2017/05/u-k-hospitals-hit-in-widespread-ransomware-attack/

[6]https://support.kaspersky.com/shadowbrokers

[7]https://www.engadget.com/2017/05/13/Microsoft-WindowsXP-WannaCrypt-NHS-patch/

[8]http://blog.talosintelligence.com/2017/05/wannacry.html

[9]http://blog.checkpoint.com/2017/05/14/wannacry-paid-time-off/

[10]https://www.enisa.europa.eu/publications/info-notes/wannacry-ransomware-outburst