Els clients de Cisco estan protegits contra Nyetya. Nova variant de Ransomware “Nyetya” compromet sistemes a tot el món
Aquest article ofereix informació per ajudar a detectar comportament de virus. Cisco Talos estudia el comportament dels mateixos i es presenten les eines per mitigar aquests riscos.
align=”alignnone” ]
Captura de pantalla d’un sistema compromès per Nyetya
Nota: Aquesta entrada del blog discuteix la investigació activa de Talos sobre una nova amenaça. Aquesta informació s’ha de considerar preliminar i s’actualitzarà al llarg del dia. Al peu d’aquesta publicació apareix la URL de la font. Ransomware Nyetya.
Actualització 2017-06-27 06:00 EDT: Actualitzat per incloure algunes de les funcionalitats tècniques per al component de ransomware d’aquest atac.
Ransomware Nyetya. Des dels atacs de ransomware SamSam que van atacar les entitats de salut nord-americanes el març de 2016, Talos ha estat preocupat per la proliferació de ransomware a través de vulnerabilitats de xarxa sense pedaços. El maig de 2017, el ransomware WannaCry va aprofitar una vulnerabilitat a SMBv1 i es va estendre com la pólvora per Internet.
Avui ha sorgit una nova variant de codi maliciós que és força diferent de Petya que la gent s’ha referit a ella per diversos noms com Petrwrap i GoldenEye. Talos està identificant aquesta nova variant de codi maliciós com Nyetya. La nostra investigació actual ens porta a creure que la mostra aprofita EternalBlue i WMI per al moviment lateral dins una xarxa afectada. Aquest comportament és diferent de WannaCry, ja que no sembla un component d’escanejat extern. A més, també hi pot haver un vector psexec que també s’utilitza per propagar internament.
La identificació del vector inicial ha demostrat ser més desafiant. Els primers informes dun vector de correu electrònic no es poden confirmar. Sobre la base dels comportaments observats, la manca dun mecanisme conegut i viable de propagació externa i altres investigacions creiem que és possible que algunes infeccions puguin estar associades amb sistemes dactualització de programari per a un paquet de comptabilitat dimpostos ucraïnès anomenat MeDoc. Talos continua investigant el vector inicial daquest malware.
Les regles de Snort que detecten els intents d’explotar MS17-010 estan disponibles des de l’abril del 2017. Addicionalment, Talos ha posat a la llista negra mostres conegudes d’aquesta nova variant de ransomware a AMP.
Funcionalitat del codi maliciós (malware)
A la nostra investigació sobre aquesta variant de ransomware, Talos va observar que els sistemes compromesos tenen un arxiu anomenat “Perfc.dat”. Perfc.dat conté la funcionalitat necessària per comprometre encara més el sistema i conté una sola funció d’exportació sense nom anomenada #1. La biblioteca intenta obtenir privilegis administratius (SeShutdowPrivilege i SeDebugPrivilege) per a l’usuari actual a través de l’API de Windows AdjustTokenPrivileges. Si teniu èxit, el ransomware sobreescriurà el registre d’arrencada mestre (MBR) a la unitat de disc anomenada PhysicalDrive 0 dins del Windows. Independentment de si el programari maliciós té èxit en sobreescriure el MBR o no, a continuació, procedirà a crear una tasca programada a través de schtasks per reiniciar el sistema una hora després de la infecció.
Com a part del procés de propagació, el codi maliciós enumera totes les màquines visibles a la xarxa a través de NetServerEnum i després busca un port TCP 139 obert. Això es fa per compilar una llista de dispositius que exposen aquest port i possiblement poden ser susceptibles de compromís.
El codi maliciós té tres mecanismes utilitzats per propagar una vegada que un dispositiu està infectat:
EternalBlue – la mateixa gesta utilitzada per WannaCry.
Psexec: una eina dadministració de Windows legítima.
WMI – Instrumental dadministració de Windows, un component legítim de Windows.
Aquests mecanismes s’utilitzen per intentar instal·lar i executar perfc.dat en altres dispositius per propagar-se lateralment.
Pels sistemes que no han aplicat MS17-010, l’exploit EternalBlue s’aprofita per comprometre sistemes. Hem escrit sobre això anteriorment a la nostra cobertura de WannaCry.
Psexec sutilitza per executar la següent instrucció (on wxyz és una adreça IP) utilitzant el token de Windows de lusuari actual per instal lar el malware al dispositiu en xarxa. Talos segueix investigant els mètodes en què es recupera el “token de Windows de l’usuari actual” de la màquina.
C:WINDOWSdllhost.dat wxyz -accepteula -s -d C:WindowsSystem32rundll32.exe C:Windowsperfc.dat,#1
WMI s’utilitza per executar la següent ordre que realitza la mateixa funció que anteriorment, però utilitzant el nom d’usuari i la contrasenya de l’usuari actual (com a nom d’usuari i contrasenya). Talos segueix investigant com es recuperen les credencials de la màquina en aquest moment.
Wbemwmic.exe /node:”wxyz” /user:”username” /password:”password” “process call create “C:WindowsSystem32rundll32.exe “C:Windowsperfc.dat” #1″
Quan un sistema es compromet amb èxit, el codi maliciós xifra els arxius en el host mitjançant el xifrat RSA de 2048 bits. A més, el codi maliciós neteja els registres d’esdeveniments al dispositiu compromès mitjançant la següent ordre:
wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:
Cobertura
Els clients de Cisco estan protegits contra Nyetya a través dels productes i serveis següents.
Advanced Malware Protection (AMP) és ideal per prevenir l’execució del codi maliciós utilitzat per aquests actors de l’amenaça.
Els dispositius de seguretat de xarxa com ara NGFW, NGIPS i Meraki MX poden detectar activitats malicioses associades amb aquesta amenaça.
AMP Threat Grid ajuda a identificar binaris maliciosos ia crear protecció a tots els productes Cisco Security.
El correu electrònic i la web no han estat identificats com un vector atacant en aquest moment. A més, no hi ha elements C2 coneguts relacionats amb aquest codi maliciós en aquest moment.
Els clients del conjunt de regles de subscriptors de codi obert de Snort poden mantenir-se al dia descarregant el paquet de regles més recent disponible per comprar a Snort.org.
Vegeu la notícia original completa:
http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
