Ein massiver Angriff mit einem Kryptor Wana decrypt0r 2.0

Published on May 12, 2017

Ein massiver Angriff mit einem Kryptor Wana decrypt0r 2.0

    Momentan kann man einen groß angelegten Angriff mit einem Trojaner-Entschlüsseler "Wana decrypt0r 2.0"
    beobachten, der in verschiedenen Netzwerken beobachtet wird, die völlig unabhängig voneinander sind.



    Eine Ransomware, die sich im Labor der Universität ausbreitet ( von hier aus )


    Einige Unternehmen raten ihren Benutzern, ihre Computer auszuschalten und auf weitere Anweisungen zu warten.




    Ich habe mich mit ehemaligen Kollegen in Verbindung gesetzt und war von ähnlichen Geschichten überrascht.


    Ich habe heute mehrere neue Windows-Abbilder für unser Cloud-System vorbereitet, darunter Windows Server 2008 R2.


    Am interessantesten ist, dass Windows, als ich gerade Windows installiert und eine statische IP-Adresse eingerichtet habe, sofort für einige Minuten infiziert wurde.



    Alle Windows-Images wurden von MSDN bezogen, die Hashes sind identisch, sodass die Möglichkeit einer Image-Infektion ausgeschlossen ist.


    Und dies trotz der Tatsache, dass die Firewall-Konfiguration für eine einzelne Netzwerkschnittstelle mit Blick nach außen als „öffentliches Netzwerk“ konfiguriert wurde.


    Nmap findet keine offenen Ports. Die Ausgabe von nmap zeigt, dass auch in diesem Fall einige Ports standardmäßig außerhalb geöffnet sind:


    Host is up (0.017s latency).
    Not shown: 997 filtered ports
    PORT      STATE SERVICE
    135/tcp   open  msrpc
    445/tcp   open  microsoft-ds
    49154/tcp open  unknown

    Das einzige, was auf dem System installiert wurde, sind Virtio-Treiber, die bei der Installation von Windows von einer externen CD geladen wurden.
    Das ISO-Image wurde auch von einer offiziellen Quelle bezogen - dem Fedora-Repository, der Hash der Menge ist auch derselbe.


    Derzeit ist nicht vollständig bekannt, wie genau die Infektion aufgetreten ist und welche spezifischen Windows-Versionen anfällig sind..


    Wenn Sie ähnliche Fälle haben, teilen Sie Informationen über sie.


    Mehrere Links zum Thema:



    Weitere Links finden Sie in den Kommentaren zu diesen News.


    Wir warten auf weitere Neuigkeiten, alle mit Freitag, und hier ist ein schönes Hintergrundbild für Ihren Desktop:


    Versteckter Text

    Bild


    UPD: Offensichtlich wird zum Angriff die Schwachstelle des SMBv1-Protokolls ausgenutzt.


    Patches zur Behebung dieser Sicherheitsanfälligkeit können von der offiziellen Website heruntergeladen werden:



    Die Sicherheitsanfälligkeit kann auch geschlossen werden, indem die SMBv1-Unterstützung vollständig deaktiviert wird. Führen Sie dazu einfach den folgenden Befehl in der Befehlszeile aus, die als Administrator ausgeführt wird (funktioniert in Windows 8.1 und höheren Versionen):


    dism /online /norestart /disable-feature /featurename:SMB1Protocol

    Es wird weiterhin empfohlen, Patches zu installieren.


    UPD2: Nach zahlreichen Anfragen werden Informationen hinzugefügt, wie Sie prüfen können, ob Sie Angst haben oder nicht. Die folgenden Schritte helfen Ihnen zu verstehen, ob ein Patch installiert ist, der diese Sicherheitsanfälligkeit in Ihrem System beseitigt:


    • Folgen Sie dem obigen Link und überprüfen Sie den Aktualisierungscode für Ihr System, z. B. für Windows 7 oder Windows Server 2008 R2. Der Code lautet 4012212entweder4012215
    • Öffnen cmd.exe(Befehlszeile)
    • Schreiben:
      wmic qfe list | findstr 4012212
    • Drücken Sie die Eingabetaste
    • Wenn Sie so etwas in der Antwort sehen, bedeutet dies, dass Sie den Patch bereits installiert haben und in Ruhe schlafen können:
      http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
    • Wenn die Antwort eine leere Zeichenfolge zurückgibt, überprüfen Sie den nächsten Patch in der Liste.
    • Wenn kein Patch gefunden wird, wird empfohlen, das Update sofort über den obigen Link oder über den direkten Link von UPD9 zu installieren

    Wie sich herausstellte, funktioniert diese Methode nicht zu 100% und jeder kann seine eigenen Nuancen haben.
    Wenn Sie immer noch sicher sind, dass das Sicherheitsupdate installiert ist, und als Antwort immer noch eine leere Zeile angezeigt wird, überprüfen Sie das Update im Windows-Updateprotokoll oder lesen Sie die Kommentare zu diesem Artikel.


    UPD3: Es gibt interessante Details zu diesem Vorfall im Internet :


    Ja, das ist es. Eine Reihe von FuzzBunch-Exploits wurde veröffentlicht, die die Shadow Brokers-Gruppe von Hackern der Equation Group und die Hacker der Nat Agency gestohlen hat. US-Sicherheit.
    Microsoft hat die Lücken leise mit einem MS 17-010-Update geschlossen, dem vielleicht wichtigsten Update der letzten zehn Jahre.
    Während das Exploit-Kit seit einer Woche im öffentlichen Bereich ist, https://github.com/fuzzbunch/fuzzbunch mit Anleitungsvideos.
    In diesem Set gibt es ein gefährliches Werkzeug DoublePulsar.
    Kurz gesagt, wenn Port 445 offen ist und das MS 17-010-Update nicht installiert ist, tippt DoublePulsar
    diesen Port ab, fängt Systemaufrufe ab und fügt schädlichen Code in den Speicher ein.

    UPD4: Interaktive Infektionskarte:


    Wcrypt Tracker


    UPD5: Video zur visuellen Nutzung des Exploits:




    UPD6: Es wurde ein interessanter Fehler im Code gefunden:


    Die Verbreitung des Ransomware-Virus WannaCrypt wurde durch die Registrierung der Domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ausgesetzt.
    Ein Sicherheitsspezialist, der @MalwareTechBlog twitterte, stellte fest, dass der Virus aus irgendeinem Grund auf diese Domain zugegriffen hatte, und entschloss sich, sie zu registrieren, um die Aktivität des Programms zu überwachen.

    Wie sich später herausstellte, lautete der Viruscode, dass die Infektion gestoppt werden sollte, wenn der Zugriff auf diese Domain erfolgreich ist. Wenn nicht, fahren Sie fort. Unmittelbar nach der Registrierung einer Domain gingen Zehntausende Anfragen an ihn.

    Das Ransomware-Virus begann sich am 12. Mai zu verbreiten. Es blockiert den Computer und benötigt 300 US-Dollar zum Entsperren. Zehntausende Infektionen wurden in 99 Ländern registriert, darunter Russland, wo Megafon, das Innenministerium und Großbritannien Opfer wurden. In anderen Ländern litten Telekommunikationsunternehmen, Banken und Beratungsunternehmen. In Großbritannien waren die Computer des Gesundheitssystems außer Betrieb.
    Das Registrieren der oben genannten Domain half nicht denjenigen, die bereits infiziert waren, sondern erlaubte anderen, ein Windows-Update zu installieren, nach dem der Virus nicht mehr funktioniert.

    UPD7: Microsoft hat einen Patch für ältere Systeme veröffentlicht (Windows XP und Windows Server 2003R2)


    UPD8: Copypaste mit 2ch.hk


    Diejenigen, die diesen Angriff gestartet haben
    Shadow Broker haben
    Exploits von Network Scanner zusammengeführt, die sie selbst auf einem C / Python-
    Linux-Server geschrieben haben

    Wie funktioniert es
    Das Scannerskript wird auf einem Linux-Server ausgeführt und
    in einem bestimmten IP-Bereich oder einem ganzen Land ausgeführt.
    Das Skript durchsucht den Bereich bis zu einem offenen Port 445.
    Bei erfolgreicher Erkennung des SMB-Dienstes wird ein Exploit gesendet, der einen Pufferüberlauf verursacht. Der
    Exploit lädt die Datei herunter und startet sie.



    UPD9: offizielle direkte Links zu diesem Patch für verschiedene Systeme:


    MS17-010

    Windows XP: download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
    Windows XP x64: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
    Windows Vista x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
    Windows Vista x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
    Windows 7 x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
    Windows 7 x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
    Windows 8 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x86_5e7e78f67d65838d198aa881a87a31345952d78e.msu
    Windows 8 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
    Windows 8.1 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
    Windows 8.1 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
    Windows 10 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
    Windows 10 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
    Windows 10 (1511) x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
    Windows 10 (1511) x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
    Windows 10 (1607) x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
    Windows 10 (1607) x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu


    Windows Server 2003 x86: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
    Windows Server 2003 x64: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
    Windows Server 2008 x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
    Windows Server 2008 x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
    Windows Server 2008 R2: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
    Windows Server 2012: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
    Windows Server 2012 R2: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
    Windows Server 2016: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu


    UPD10: Verschlüsselungsversionen wurden angezeigt , wobei die in UPD6 beschriebene Killswitch-Methode ignoriert wurde .


    Dank an xsash , Inflame , Pulse , nxrighthere , waisberg , forajump , Akr0n , LESHIY_ODESSA , Pentestit , alguryanow und andere für die vielen Ergänzungen zu diesem Artikel.

    Nur registrierte Benutzer können an der Umfrage teilnehmen. Bitte melden Sie sich an.

    Haben Sie einen ähnlichen Fall? Welche Versionen sind anfällig für Infektionen?