Эксперты Positive Technologies подготовили рекомендации по обнаружению и противодействию вирусу-шифровальщику WannaCry

Шифровальщик WannaCry. Рекомендации

В связи с начавшейся 12 мая 2017 года массовой эпидемией вируса-шифровальщика WannaCry (WannaCry, WCry, WanaCrypt, WanaCrypt0r, Wana DeCrypt0r и др.), компания Positive Technologies получает большое количество запросов на предоставление рекомендаций по обнаружению и противодействию этой угрозе.

В связи с этим было решено сформировать базовый набор рекомендаций по противодействию этому виду вредоносного ПО. Данный документ не содержит полного и детального описания вируса-шифровальщика, так как мы ожидаем появления новых модификаций в течение этой недели с другими индикаторами компрометации.

Сегодня известно уже о как минимум 3 различных версиях WannaCry. Учитывая модульную структуру вируса, эксперты Positive Technologies ожидают появления в ближайшем будущем новых модификаций. Поэтому особенно важно максимально быстро устранить возможность распространения вируса в корпоративной сети.

Уязвимыми к атаке WannaCry являются компьютеры под управлением операционных систем Windows начиная с XP/2003 и до 10/2016 включительно, на которых не установлено обновление MS17-010.

Подготовленный нами базовый набор рекомендаций поможет противостоять атаке на всех ее этапах:

  1. Рекомендации по предотвращению заражения
  2. Рекомендации по обнаружению заражения
  3. Рекомендации по локализации и ликвидации заражения

Рекомендации по предотвращению заражения

Важно! С 12 по 14 мая экземпляры вируса WannaCry распространялись через уязвимости в Windows SMB Server (445 порт TCP), причем не только в рамках организации, но и на стадии проникновения извне.

Чтобы исключить возможность заражения, следует выполнить все 5 перечисленных ниже пунктов. Их можно выполнять параллельно, но если не позволяет время – рекомендуем выполнять пункты в приведенном порядке.

  1. Полностью заблокировать соединения извне на порт TCP 445 внешнего периметра. Рекомендуется использовать шлюзовой межсетевой экран (МЭ), стоящий на границе сети. Если внешних подсетей много (к примеру, распределенная по всей стране инфраструктура с множественными выходами в Интернет) и периметр сложно инвентаризировать – вы можете обратиться к представителям компании Positive Technologies за помощью в инвентаризации внешних служб, доступных из сети Интернет (контактный адрес электронной почты: abc@ptsecurity.com). Потребуется лишь список выделенных сетей от оператора и согласие на сканирование.
  2. Обновить базы всех средств антивирусной защиты для всех узлов сети. Убедиться, что включен компонент поведенческого анализа на средствах защиты серверов и рабочих станций.
  3. Идентифицировать все уязвимые узлы внутри сети. Для этого можно воспользоваться одним из методов:

    a. Сканер уязвимостей. Для пользователей MaxPatrol 8 подробные рекомендации по обнаружению уязвимых узлов в сети и созданию отчета о таких узлах даны в Приложениях:

    Приложение 1. Подготовка отчета по узлам с уязвимостью CVE-2017-0145
    Приложение 2. Обнаружение уязвимости CVE-2017-0145 в режиме Audit

    Кроме того, компания Positive Technologies выпустила специальное обновление (сборка 8.25.5.25482), предоставляющее пользователям MaxPatrol 8 возможность обнаруживать уязвимость CVE-2017-0145 в облегченном режиме Pentest. Детальная инструкция представлена в Приложении 3. Поиск уязвимости CVE-2017-0145 EternalBlue в режиме Pentest.

    b. SCCM, WSUS или другая система управления обновлениями и инвентаризации. Необходимо создать отчет с проверкой, установлено ли обновление 4013389 (MS17-010) либо более новое. Полный список KB для проверки в зависимости от ОС доступен по ссылке https://technet.microsoft.com/en-us/library/security/ms17-010.aspx. Последние обновления включают в себя все предыдущие, так что можно просто проверить, установлено ли самое последнее обновление.

    c. Локальная проверка. Для проверки наличия обновления локально можно воспользоваться командой:
    > wmic qfe get HotfixId | findstr KB_for_OS.
    Например, для Windows 10 последнее на сегодня обновление безопасности – KB4019472 (оно включает в себя заплату MS17-010):

  4. Немедленно установить обновление MS17-010 на все уязвимые узлы, включая Windows XP и Windows Server 2003. Обновления для разных ОС доступны по ссылке https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/.
  5. После установки обновления повторить поиск уязвимых узлов во всей инфраструктуре (пункт 3).

Важно! Если уязвимых узлов слишком много, и быстро установить обновление не получается:

a. Отключить SMBv1 на всех узлах, где она не является критичной функцией. Отключить можно вручную либо с помощью SCCM / GPO. Подробности здесь:https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

b. Для узлов, на которых SMBv1 отключить нельзя, рекомендуется реализовать выделенный закрытый сегмент. Подключения к данному сегменту по протоколу SMB разрешить только с узлов, уже имеющих обновление безопасности и неуязвимых к атаке.

Рекомендации по обнаружению зараженных узлов

Существуют следующие способы обнаружения распространения вируса:

  1. Множественные соединения на разные узлы по порту 445. С задачей могут справиться IDS\IPS системы и системы класса SIEM. Также за активностью можно наблюдать через межсетевые экраны.
  2. Множественные подключения к сети TOR по портам 9001 и 9003. На данный момент, перед тем как шифровать файлы, все модификации вируса осуществляли попытку установки TOR и затем подключались к C&C-серверам. Использовались базовые настройки TOR браузера, что позволяет с высокой вероятностью отследить вирус по TCP-портам 9001 и 9003.
  3. Мониторинг DNS-запросов «доменов–выключателей». Анализ журналов DNS-сервера и/или proxy-сервера. Уже появились семплы без «домена-выключателя», однако в случае распространения более старых образцов вируса обращения к этим доменам послужат хорошим индикатором. Сегодня известны следующие домены:
    www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
    www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
    www[.]ayylmaoTJHSSTasdfasdfasdfasdfasdfasdfasdf[.]com
  4. Мониторинг вердиктов средств антивирусной защиты. Известны уже сотни наименований вердиктов различных антивирусов. Наиболее популярные вердикты:

    a. Kaspersky:
    • Exploit.Win32/64.ShadowBrokers.*
    • Trojan-Ransom.Win32.Gen.*
    • Trojan-Ransom.Win32.Scatter.*
    • Trojan-Ransom.Win32.Wanna.*
    • Trojan-Ransom.Win32.Zapchast.*
    • MEM:Trojan.Win64.EquationDrug.*

    b. ESET NOD32 – Win32/Filecoder.WannaCryptor.*, Win32/Exploit.CVE-2017-0147.*.

    c. Dr.Web – преимущественно сигнатура – Trojan.Encoder.11432, также встречаются BACKDOOR.Trojan, Trojan.Encoder.10609.

    Пользователи MaxPatrol SIEM в случае возникновения вопросов при настройке политик 1-4 могут обратиться напрямую в Positive Technologies через выделенного менеджера или закрепленного технического специалиста.

  5. Система обнаружения вторжений (IDS). Для продуктов, принимающих сигнатуры в формате Snort, можно воспользоваться следующими правилами:

    alert udp $HOME_NET any -> any 53 (msg:"ET TROJAN Possible WannaCry? DNS Lookup"; content:"|01 00 00 01 00 00 00 00 00 00|"; depth:10; offset:2; content:"|03|www|29|iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea|03|com|00|"; nocase; distance:0; fast_pattern; reference:url,www.bleepingcomputer.com/news/security/telefonica-tells-employees-to-shut-down-computers-amid-massive-ransomware-outbreak/; classtype:trojan-activity; sid:2024291; rev:1;)

    alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray"; flow:to_server,established; content:"|ff|SMB|33 00 00 00 00 18 07 c0 00 00 00 00 00 00 00 00 00 00 00 00 00 08 ff fe 00 08|"; offset:4; depth:30; fast_pattern:10,20; content:"|00 09 00 00 00 10|"; distance:1; within:6; content:"|00 00 00 00 00 00 00 10|"; within:8; content:"|00 00 00 10|"; distance:4; within:4; pcre:"/^[a-zA-Z0-9+/]{1000,}/R"; threshold: type threshold, track by_src, count 5, seconds 1; classtype:trojan-activity; sid:2024217; rev:2;)

    alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)"; flow:to_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)

    alert smb $HOME_NET any -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)

    1. Рекомендации по локализации и ликвидации заражения

      При обнаружении зараженных узлов:

      1. Отключить зараженные узлы от сети, выдернув сетевой кабель или отключив сетевой интерфейс или порт на коммутаторе.
      2. Блокировать межсегментный трафик по портам 139 и 445 внутри сети, кроме необходимых и не зараженных узлов внутри сети, используя межсетевые экраны и списки контроля доступ (ACL-листы) на коммутаторах.
      3. Блокировать входящие запросы на порты 139 и 445 на рабочих станциях и серверах, для которых не требуется служба SMB, с помощью Windows Firewall или межсетевого экрана в составе антивируса.
      4. Удостовериться в доступности из локальной сети доменов

        www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
        www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

        Возможность подключения к этим доменам предотвращает заражение ранними версиями вируса. Проверяется только доступность адреса на порту 80 (HTTP), поэтому достаточно перенаправлять запросы на указанные домены на любой внутренний веб-сервер. Это можно настроить на внутреннем DNS-сервере.
      5. Для зашифрованных машин при невозможности восстановления файлов рекомендуется сохранить зашифрованные файлы на внешнем диске или сохранить диск от компьютера на срок не менее 6 месяцев на случай появления утилиты расшифровки данных позднее. При этом машину необходимо сразу выключить.
      6. С целью ликвидации вируса-шифровальщика необходимо остановить выполнение сервиса mssecsvc2.0 с описанием Microsoft Security Center (2.0) Service (сервис, создаваемый вирусом, необходимый ему для дальнейшего распространения по сети), а также сервис, запускающий tasksche.exe. Обычно сервис носит имя случайного каталога, помеченного как скрытого и системного, начинающегося с 8-15 символов [a-z], и завершается тремя цифрами, созданными в одном из трех мест: %SystemDrive%\ProgramData\, %SystemDrive%\Intel\, %Temp%\. Далее обновить базы используемого антивирусного решения, провести полное сканирование зараженного узла сети и выполнить рекомендации из раздела Рекомендации по предотвращению заражения.


      ПРИЛОЖЕНИЕ №1. Подготовка отчета по узлам с уязвимостью CVE-2017-0145 EternalBlue

      Информация об уязвимости CVE-2017-0145 (Windows SMB Remote Code Execution Vulnerability) присутствует в базе знаний MaxPatrol 8 начиная со сборки 8.25.5.25279 (если используется более ранняя сборка, необходимо выполнить обновление). Обнаруживается уязвимость при сканировании узла в режиме Audit. В случае если у вас уже есть результаты сканирований на сборке 8.25.5.25279 (и системы не обновлялись после сканирования), для того чтобы получить список уязвимых узлов, достаточно подготовить отчет. Наиболее удобным будет отчет в табличном представлении, содержащий только узлы с данной уязвимостью. Его можно экспортировать в другую систему и провести установку обновления.

      Чтобы создать отчет:

      1. Переходим на закладку Отчеты
      2. Добавляем новый отчет
      3. Даем отчету имя и определяем тип – SIEM integration
      4. В разделе Задача выбираем созданную на Шаге 3 задачу
      5. Включаем фильтрацию по полю CVE = CVE-2017-0145. Это позволит отобрать только уязвимые узлы
      6. Сохраняем отчет и запускаем
      7. Отчет сформирован в .XML-файле. Сохраняем его и открываем, например, в Microsoft Excel
      8. Экспортируем список уязвимых узлов (столбцы NETBIOS либо value3)

      ПРИЛОЖЕНИЕ №2. Обнаружение уязвимости CVE-2017-0145 EternalBlue в режиме Audit

      Для сканирования в режиме Audit необходима учетная запись, обладающая правами администратора на узлах сети. Для ускорения сканирования можно использовать урезанный профиль:

      • Отключаем все режимы сканирования, кроме Audit
      • В Настройках сканирования в режиме Audit отключаем использование LDAP, SSH, Telnet, MSSL, Oracle, Lotus Notes RPC, SAP DIAG, SAP RFC

      Если компьютер уязвим – в результатах сканирования появится запись «Удаленное выполнение кода, связанное с Windows SMB»



      ПРИЛОЖЕНИЕ №3. Поиск уязвимости CVE-2017-0145 EternalBlue в режиме Pentest

      С целью более быстрого и простого поиска всех уязвимых к CVE–2017–0145 узлов выпущено обновление 8.25.5.25482, позволяющее обнаруживать уязвимость в режиме Pentest. Инструкция по созданию облегченного профиля Pentest:

      0. Проверяем, что используется версия 8.25.5.25482 или выше. В противном случае обновляем версию до нужной

      • Переходим в Сканирование
      • Выбираем Профили
      • Создаем профиль на основе Fast Pentest, даем профилю имя
      • В Настройках сканирования оставляем только порт 445/tcp в списке портов
      • Также в настройках полностью отключаем Сканер UDP-сервисов
      • Сохраняем профиль, переходим к Задачам
      • Создаем задачу, использующую профиль и выполняем сканирование
      • Если узел уязвим – это будет отражено в результатах сканирования
      • Переходим к созданию отчета (Приложение 1)