Az SMB sérülékenységet kihasználó WannaCry Ransomware kampány

Összefoglaló:

Egy kiterjedt zsarolóvírus kampány észlelhető 2017. május 12-e óta.. A célba juttatott kód (payload) a WannaCry zsarolóprogram (ransomware) egy variánsa. A célba juttatás módjában történt továbbfejlesztés, amellyel a Microsoft Windows nemrég felfedezett SMB sérülékenységeit kihasználva a malware képes további rendszereket megfertőzni a lokális hálózaton [1, 2, 3] (CVE-2017-0143 - CVE-2017-0148).

A sérülékenységeket kihasználó kód (ETERNALBLUE kódnéven) a ShadowBrokers néven ismertté vált hacker csoport által került ki az internetre 2017. április 14-én, és a Microsoft március 14-ével javította az MS17-010 [3] javítócsomag részeként.

Úgy tűnik, hogy a javítócsomagot még számos szervezet nem telepítette. A tájékoztató megjelenésekor több tízezer számítógép volt fertőzött világszerte, köztük a spanyol Telefonica [4] és az egyesült királyságbeli NHS egészségügyi intézményei [5] által üzemeltetett gépekkel.

Technikai részletek:

Bár csak korlátozott információ áll rendelkezésre a kezdeti támadási vektorról, az első jelek leginkább egy spear-phishing kampányra utalnak, amelyben JavaScript és PowerShell kódot alkalmazó makrókkal ellátott MS Office dokumentumot terjesztenek csatolmányként. Míg a hasonló kampányok általánosak és széles körben elterjedtek, úgy tűnik, hogy ezen esetben az igen magas érintettség a Microsoft Windows nemrég felfedezett, SMB protokollbeli sérülékenységét kihasználó „exploit” kód alkalmazásának köszönhető [1, 2, 3].

A WannaCry kódjában kutatók találtak egy „kill switch”-et, melyet feltételezhetően a készítő rakott bele, arra az esetre, ha a terjedést szeretné megállítani. A zsarolóvírus egy hosszú névvel rendelkező domain-t (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) próbál megszólítani és a kapcsolódás sikere esetén kilép. A kódot felfedező kutatók ezt a domain-t regisztrálták, így ezen variáns újabb rendszereken kárt nem okoz, és a felállított környezettel adatokat is tudnak gyűjteni a fertőződött gépekről. A megoldás sajátossága, hogy olyan környezetből, ahonnan csak proxy-n keresztül lehet megszólítani az Interneten lévő szerverek 80-as portját, ez a "kill-switch" funkció nem segít. Időközben már olyan variánsról is jelent meg riport, amelyben ez a kikapcsoló funkció nincs benne.

Május 16-áig már 4 ilyen domain is ismertté vált:

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com
lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea[.]com

Ha akár egyetlen számítógép is fertőződik egy lokális hálózaton, a malware automatikusan képes terjedni az SMB protokoll használatával a 137 és 138-as UDP, valamint a 139 és 445-ös TCP porton keresztül. Fontos megjegyezni, hogy ez által a nem frissített, SMB protokoll használatát elérhetővé tevő számítógépek az Interneten közvetlenül fertőződhetnek, minden egyéb célba juttatási mechanizmus nélkül. Elég, ha el vannak indítva és fogadják a kapcsolódást SMB protokollon keresztül.

A támadásokban használt malware titkosítja a fájlokat és egy visszafejtéshez használható eszközt (decryptor tool) is letölt. Ezt követően 300 dollár körüli összeget követel Bitcoin-ban a visszafejtéshez használható kódért cserébe. A dekódoló szoftver felhasználói felülete több nyelvet támogat. A C&C szerver eléréséhez a malware a Tor hálózatot használja. További részletek a [2]-es hivatkozáson találhatóak.

Annak érdekében, hogy minél nagyobb kárt tudjon okozni, a titkosítást megelőzően a malware az MS Exchange-hez illetve adatbázis szerverekhez köthető folyamatokat is leállít.

A malware által letitkosítandó fájlok kiterjesztései [2]:

  • Általánosan használt office dokumentumok ( .ppt , .doc , .docx , .xlsx , .sxi ).
  • Kevésbé gyakori, nemzeti specifikus office formátumok ( .sxw , .odt , .hwp ).
  • Archív és média fájlok ( .zip , .rar , .tar , .bz2 , .mp4 , .mkv ).
  • E-mail-ek és e-mail adatbázisok ( .eml , .msg , .ost , .pst , .edb ).
  • Adatbázis fájlok ( .sql , .accdb , .mdb , .dbf , .odb , .myd ).
  • Fejlesztők forráskódjai illetve projekt fájljai ( .php , .java , .cpp , .pas , .asm ).
  • Titkosító kulcsok és tanúsítványok ( .key , .pfx , .pem , .p12 , .csr , .gpg , .aes ).
  • Grafikai szoftverek, fotósok által használt formátumok ( .vsd , .odg , .raw , .nef , .svg , .psd ).
  • Virtuális gépek fájljai ( .vmx , .vmdk , .vdi ).

A támadással összefüggésbe hozható C&C szerverek címei [8]

  • 188[.]166[.]23[.]127
  • 193[.]23[.]244[.]244
  • 2[.]3[.]69[.]209
  • 146[.]0[.]32[.]144
  • 50[.]7[.]161[.]218
  • 217.79.179[.]77
  • 128.31.0[.]39
  • 213.61.66[.]116
  • 212.47.232[.]237
  • 81.30.158[.]223
  • 79.172.193[.]32
  • 89.45.235[.]21
  • 38.229.72[.]16
  • 188.138.33[.]220

Érintett termékek: 

Az alábbi termékek érintettek ha a javítás nincs telepítve rajtuk [1, 3]:

  • Microsoft Windows Vista SP2
  • A malware már nem támogatott platformokat is támad:

    • Microsoft Windows XP
    • Microsoft Windows 8
    • Microsoft Windows Server 2003
  • Microsoft Windows Server 2008 SP2 és R2 SP1
  • Microsoft Windows 7
  • Microsoft Windows 8.1
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server 2012 és R2
  • Microsoft Windows 10
  •  

    Ajánlások:

    Az érintett SMB sérülékenységhez elérhető a javítás a támogatott Microsoft Windows operációs rendszerekhez: Microsoft Security Bulletin MS17-010. A javítócsomag telepítése szükségszerű. Az eset súlyosságára való tekintettel, a Microsoft elérhetővé tette az MS17-010 patch-et a korábbi, már nem támogatott platformokhoz is, mint a Windows XP, Windows 8 és Windows Server 2003. [7] 
    Az MS17-010 frissítés meglétének ellenőrzéséhez készült segítség elérhető innen: ms17-010_frissites_ellenozrese_vegfelhasznaloknak.pdf

    Amennyiben Windows 7 , Windows 8, Windows  8.1, Windows  10 rendszert használ és az UAC valamint az árnyékmásolatok engedélyezve vannak, valószínűleg visszaállíthatóak a titkosított állományok. Ehhez szükséges az hogy a fertőzés kezdetekor a felhasználó ne engedélyezze az UAC felugró ablakot (vagy ne legyen rá joga), mivel a malware nem rendelkezik a megfelelő UAC-t megkerülő kóddal. [10]

    Az alábbi intézkedéseket mielőbb életbe kell léptetni: [1]:Frissítés a legfrissebb verzióra, javítási szintre (patch level) a gyártó ajánlásainak megfelelően

    • A rendszer frissítése az MS17-010 patch-el.
    • Az SMBv1 tiltása a Microsoft Knowledge Base Article 2696547 sz. cikkben leírtaknak megfelelően
    • Meggondolandó szabály létrehozása a tűzfalon az SMB bejövő forgalom tiltása a 445-ös port irányába
    • Fertőzésgyanús számítógépek beazonosítása, hálózatról történő leválasztása
    • A nem támogatott vagy javítás nélküli rendszerek hálózatról történő leválasztása
    • A potenciálisan fertőzött rendszerek felkutatása a hálózaton, elszigetelésük, frissítésük

    Általános szabályként elmondható, hogy a ransomware típusú támadásokkal szembeni leghatásosabb védekezés a gyakori és megbízható mentések készítése.

    Fertőzöttség / letitkosított fájlok esetén javasolt a fájlok mentése az érintett számítógép tisztítása előtt, mivel elképzelhető, hogy valamikor a dekódoláshoz szükséges kulcs elérhetővé válik. Arra azonban nincs garancia, hogy ez bármikor bekövetkezik, illetve, hogy a dekódolás sikeres is lesz. Szintén nincs garancia arra, hogy a zsarolók megküldik a kulcsot fizetés fejében.

    Elemzők szerint [9] az alábbi körülmények miatt megkérdőjelezhető, hogy a WannaCrypt fejlesztői képesek lennének ígéretüknek megfelelően visszaállítani a fájlokat:

    • egyetlen jelentés sem érkezett arról, hogy fizetés ellenében bárki kapott volna kulcsot a visszafejtéshez
    • a megszerzett kód elemzése alapján problematikus dekriptáló rendszer
    • problematikus fizetési rendszer, melynél nem látszik, hogy a befizetőt bármilyen módon azonosítani tudnák a fejlesztők
    • megtévesztő demó visszafejtő kód

    UPDATE - 2017.05.19:

    Elérhetővé vált két tool [11], amely által bizonyos esetekben visszanyerhetők az RSA privát kulcs létrehozásánál használt prímszámok. Akkor lehet szerencsénk, ha a számítógép a fertőzés óta még nem volt kikapcsolva/újraindítva. Jelenleg Windows XP rendszeren tesztelték, ott működőképes. 

    A WannaKey[12] tool megkeresi a memóriában a wcry.exe folyamatot, amely előállítja az RSA kulcsot. A víruskód CryptDestroyKey és CryptReleaseContext függvényei nem törlik a memória tartalmát, mielőtt felszabadítják azt. Ez a folyamat a Windows Crypto API működésének sajátossága, ami Windows 10 rendszeren másképp működik, ott törli a memória tartalmát a felszabadítás előtt.

    Amennyiben a használt memóriatartomány nincs törölve, illetve újraallokálva, a prímszámok a memóriában maradnak, így előállítható a feloldókulcs.

    A WannaKey egy másik verziója, a WanaKiwi megalkotója azt állítja, mindkét feloldó-program működik a Windows-verziókon, a Windows 7-tel bezárólag.

    UPDATE - 2017.06.12

    Június elején a RiskSense kiberbiztonsági kutató cégnek sikerült bizonyítania, hogy a WannaCry zsarolóvírus által kihasznált sérülékenységben a Microsoft Windows 10 operációs rendszer is érintett. Az elemzés részletesen leírja, hogy minden létező Windows verzió esetén más és más módon aknázható ki a meglévő biztonsági rés.
    Ráadásul az ETERNALBLUE sérülékenység többféleképpen is kihasználható, ezért a jövőben több WannaCry variáns is megjelenhet.
    Ugyanakkor a Redstone 1 (2016. augusztus) és Redstone 2 (2017. április) frissítések telepítésével csökkenthető a kihasználhatóság, továbbá a MS17-010 frissítés végleg befoltozza a sérülékenységet. [13]

    A malware kezdeti telepítőjének és az általa kibontott további fájloknak hash értékei:

    Kezdeti telepítő:

    MD5: db349b97c37d22f5ea1d1841e3c89eb4
    SHA1: e889544aff85ffaf8b0d0da705105dee7c97fe26
    SHA256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

    tasksche.exe
    MD5: 84c82835a5d21bbcf75a61706d8ab549
    SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

    taskse.exe
    MD5: 8495400F199AC77853C53B5A3F278F3E
    SHA256: 2CA2D550E603D74DEDDA03156023135B38DA3630CB014E3D00B1263358C5F00D

    taskdl.exe
    MD5: 4FEF5E34143E646DBF9907C4374276F5
    SHA256: 4A468603FDCB7A2EB5770705898CF9EF37AADE532A7964642ECD705A74794B79

    r.wnry
    MD5: 3E0020FC529B1C2A061016DD2469BA96
    SHA256: 402751FA49E0CB68FE052CB3DB87B05E71C1D950984D339940CF6B29409F2A7C

    c.wnry
    MD5: C49F0C5AF0DB35062EEC411F0122FDC4
    SHA256: 42B8A5A7F47388D4062480480781C42102CF7FE18DD6299021C7894C2C33BA5C

    t.wnry
    MD5: 5DCAAC857E695A65F5C3EF1441A73A8F
    SHA256: 97EBCE49B14C46BEBC9EC2448D00E1E397123B256E2BE9EBA5140688E7BC0AE6

    u.wnry
    MD5: 5DCAAC857E695A65F5C3EF1441A73A8F
    SHA256: B9C5D4339809E0AD9A00D4D3DD26FDF44A32819A54ABF846BB9B560D81391C25

    b.wnry
    MD5: C17170262312F3BE7027BC2CA825BF0C
    SHA256: D5E0E8694DDC0548D8E6B87C83D50F4AB85C1DEBADB106D6A6A794C3E746F4FA

    s.wnry
    MD5: A0D04DCFE4AD053AC1E4B68EE411C969
    SHA256: E18FDD912DFE5B45776E68D578C3AF3547886CF1353D7086C8BEE037436DFF4B

    Hivatkozások:

    [1]https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-deransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html

    [2]https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacksall-over-the-world/

    [3]https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

    [4]https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign

    [5]https://krebsonsecurity.com/2017/05/u-k-hospitals-hit-in-widespread-ransomware-attack/

    [6]https://support.kaspersky.com/shadowbrokers

    [7]https://www.engadget.com/2017/05/13/Microsoft-WindowsXP-WannaCrypt-NHS-patch/

    [8]http://blog.talosintelligence.com/2017/05/wannacry.html

    [9]http://blog.checkpoint.com/2017/05/14/wannacry-paid-time-off/

    [10]https://www.enisa.europa.eu/publications/info-notes/wannacry-ransomware-outburst

    [11]https://www.heise.de/newsticker/meldung/Krypto-Trojaner-WannaCry-Entschluesselungs-Tool-WannaKey-macht-Trojaner-Opfern-Hoffnung-3718185.html

    [12]https://github.com/aguinet/wannakey

    [13]http://risksense.com/download/datasets/4353/EternalBlue_RiskSense%20Exploit%20Analysis%20and%20Port%20to%20Microsoft%20Windows%2010_v1_2.pdf