Összefoglaló:
Egy kiterjedt zsarolóvírus kampány észlelhető 2017. május 12-e óta.. A célba juttatott kód (payload) a WannaCry zsarolóprogram (ransomware) egy variánsa. A célba juttatás módjában történt továbbfejlesztés, amellyel a Microsoft Windows nemrég felfedezett SMB sérülékenységeit kihasználva a malware képes további rendszereket megfertőzni a lokális hálózaton [1, 2, 3] (CVE-2017-0143 – CVE-2017-0148).
A sérülékenységeket kihasználó kód (ETERNALBLUE kódnéven) a ShadowBrokers néven ismertté vált hacker csoport által került ki az internetre 2017. április 14-én, és a Microsoft március 14-ével javította az MS17-010 [3] javítócsomag részeként.
Úgy tűnik, hogy a javítócsomagot még számos szervezet nem telepítette. A tájékoztató megjelenésekor több tízezer számítógép volt fertőzött világszerte, köztük a spanyol Telefonica [4] és az egyesült királyságbeli NHS egészségügyi intézményei [5] által üzemeltetett gépekkel.
Technikai részletek:
Bár csak korlátozott információ áll rendelkezésre a kezdeti támadási vektorról, az első jelek leginkább egy spear-phishing kampányra utalnak, amelyben JavaScript és PowerShell kódot alkalmazó makrókkal ellátott MS Office dokumentumot terjesztenek csatolmányként. Míg a hasonló kampányok általánosak és széles körben elterjedtek, úgy tűnik, hogy ezen esetben az igen magas érintettség a Microsoft Windows nemrég felfedezett, SMB protokollbeli sérülékenységét kihasználó „exploit” kód alkalmazásának köszönhető [1, 2, 3].
A WannaCry kódjában kutatók találtak egy „kill switch”-et, melyet feltételezhetően a készítő rakott bele, arra az esetre, ha a terjedést szeretné megállítani. A zsarolóvírus egy hosszú névvel rendelkező domain-t (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com) próbál megszólítani és a kapcsolódás sikere esetén kilép. A kódot felfedező kutatók ezt a domain-t regisztrálták, így ezen variáns újabb rendszereken kárt nem okoz, és a felállított környezettel adatokat is tudnak gyűjteni a fertőződött gépekről. A megoldás sajátossága, hogy olyan környezetből, ahonnan csak proxy-n keresztül lehet megszólítani az Interneten lévő szerverek 80-as portját, ez a „kill-switch” funkció nem segít. Időközben már olyan variánsról is jelent meg riport, amelyben ez a kikapcsoló funkció nincs benne.
Május 16-áig már 4 ilyen domain is ismertté vált:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com
lazarusse.suiche.sdfjhgosurijfaqwqwqrgwea[.]com
A támadásokban használt malware titkosítja a fájlokat és egy visszafejtéshez használható eszközt (decryptor tool) is letölt. Ezt követően 300 dollár körüli összeget követel Bitcoin-ban a visszafejtéshez használható kódért cserébe. A dekódoló szoftver felhasználói felülete több nyelvet támogat. A C&C szerver eléréséhez a malware a Tor hálózatot használja. További részletek a [2]-es hivatkozáson találhatóak.
Annak érdekében, hogy minél nagyobb kárt tudjon okozni, a titkosítást megelőzően a malware az MS Exchange-hez illetve adatbázis szerverekhez köthető folyamatokat is leállít.
A malware által letitkosítandó fájlok kiterjesztései [2]:
- Általánosan használt office dokumentumok ( .ppt , .doc , .docx , .xlsx , .sxi ).
- Kevésbé gyakori, nemzeti specifikus office formátumok ( .sxw , .odt , .hwp ).
- Archív és média fájlok ( .zip , .rar , .tar , .bz2 , .mp4 , .mkv ).
- E-mail-ek és e-mail adatbázisok ( .eml , .msg , .ost , .pst , .edb ).
- Adatbázis fájlok ( .sql , .accdb , .mdb , .dbf , .odb , .myd ).
- Fejlesztők forráskódjai illetve projekt fájljai ( .php , .java , .cpp , .pas , .asm ).
- Titkosító kulcsok és tanúsítványok ( .key , .pfx , .pem , .p12 , .csr , .gpg , .aes ).
- Grafikai szoftverek, fotósok által használt formátumok ( .vsd , .odg , .raw , .nef , .svg , .psd ).
- Virtuális gépek fájljai ( .vmx , .vmdk , .vdi ).
A támadással összefüggésbe hozható C&C szerverek címei [8]
- 188[.]166[.]23[.]127
- 193[.]23[.]244[.]244
- 2[.]3[.]69[.]209
- 146[.]0[.]32[.]144
- 50[.]7[.]161[.]218
- 217.79.179[.]77
- 128.31.0[.]39
- 213.61.66[.]116
- 212.47.232[.]237
- 81.30.158[.]223
- 79.172.193[.]32
- 89.45.235[.]21
- 38.229.72[.]16
- 188.138.33[.]220
Érintett termékek:
Az alábbi termékek érintettek ha a javítás nincs telepítve rajtuk [1, 3]:
- Microsoft Windows Vista SP2
A malware már nem támogatott platformokat is támad:
- Microsoft Windows XP
- Microsoft Windows 8
- Microsoft Windows Server 2003
- Microsoft Windows Server 2008 SP2 és R2 SP1
- Microsoft Windows 7
- Microsoft Windows 8.1
- Microsoft Windows RT 8.1
- Microsoft Windows Server 2012 és R2
- Microsoft Windows 10
Ajánlások:
Az érintett SMB sérülékenységhez elérhető a javítás a támogatott Microsoft Windows operációs rendszerekhez: Microsoft Security Bulletin MS17-010. A javítócsomag telepítése szükségszerű. Az eset súlyosságára való tekintettel, a Microsoft elérhetővé tette az MS17-010 patch-et a korábbi, már nem támogatott platformokhoz is, mint a Windows XP, Windows 8 és Windows Server 2003. [7] Az MS17-010 frissítés meglétének ellenőrzéséhez készült segítség elérhető innen: ms17-010_frissites_ellenozrese_vegfelhasznaloknak.pdf
Amennyiben Windows 7 , Windows 8, Windows 8.1, Windows 10 rendszert használ és az UAC valamint az árnyékmásolatok engedélyezve vannak, valószínűleg visszaállíthatóak a titkosított állományok. Ehhez szükséges az hogy a fertőzés kezdetekor a felhasználó ne engedélyezze az UAC felugró ablakot (vagy ne legyen rá joga), mivel a malware nem rendelkezik a megfelelő UAC-t megkerülő kóddal. [10]
Az alábbi intézkedéseket mielőbb életbe kell léptetni: [1]:Frissítés a legfrissebb verzióra, javítási szintre (patch level) a gyártó ajánlásainak megfelelően
- A rendszer frissítése az MS17-010 patch-el.
- Az SMBv1 tiltása a Microsoft Knowledge Base Article 2696547 sz. cikkben leírtaknak megfelelően
- Meggondolandó szabály létrehozása a tűzfalon az SMB bejövő forgalom tiltása a 445-ös port irányába
- Fertőzésgyanús számítógépek beazonosítása, hálózatról történő leválasztása
- A nem támogatott vagy javítás nélküli rendszerek hálózatról történő leválasztása
- A potenciálisan fertőzött rendszerek felkutatása a hálózaton, elszigetelésük, frissítésük
Általános szabályként elmondható, hogy a ransomware típusú támadásokkal szembeni leghatásosabb védekezés a gyakori és megbízható mentések készítése.
Fertőzöttség / letitkosított fájlok esetén javasolt a fájlok mentése az érintett számítógép tisztítása előtt, mivel elképzelhető, hogy valamikor a dekódoláshoz szükséges kulcs elérhetővé válik. Arra azonban nincs garancia, hogy ez bármikor bekövetkezik, illetve, hogy a dekódolás sikeres is lesz. Szintén nincs garancia arra, hogy a zsarolók megküldik a kulcsot fizetés fejében.
Elemzők szerint [9] az alábbi körülmények miatt megkérdőjelezhető, hogy a WannaCrypt fejlesztői képesek lennének ígéretüknek megfelelően visszaállítani a fájlokat:
- egyetlen jelentés sem érkezett arról, hogy fizetés ellenében bárki kapott volna kulcsot a visszafejtéshez
- a megszerzett kód elemzése alapján problematikus dekriptáló rendszer
- problematikus fizetési rendszer, melynél nem látszik, hogy a befizetőt bármilyen módon azonosítani tudnák a fejlesztők
- megtévesztő demó visszafejtő kód
UPDATE – 2017.05.19:
Elérhetővé vált két tool [11], amely által bizonyos esetekben visszanyerhetők az RSA privát kulcs létrehozásánál használt prímszámok. Akkor lehet szerencsénk, ha a számítógép a fertőzés óta még nem volt kikapcsolva/újraindítva. Jelenleg Windows XP rendszeren tesztelték, ott működőképes.
A WannaKey[12] tool megkeresi a memóriában a wcry.exe folyamatot, amely előállítja az RSA kulcsot. A víruskód CryptDestroyKey és CryptReleaseContext függvényei nem törlik a memória tartalmát, mielőtt felszabadítják azt. Ez a folyamat a Windows Crypto API működésének sajátossága, ami Windows 10 rendszeren másképp működik, ott törli a memória tartalmát a felszabadítás előtt.
Amennyiben a használt memóriatartomány nincs törölve, illetve újraallokálva, a prímszámok a memóriában maradnak, így előállítható a feloldókulcs.
A WannaKey egy másik verziója, a WanaKiwi megalkotója azt állítja, mindkét feloldó-program működik a Windows-verziókon, a Windows 7-tel bezárólag.
UPDATE – 2017.06.12
Június elején a RiskSense kiberbiztonsági kutató cégnek sikerült bizonyítania, hogy a WannaCry zsarolóvírus által kihasznált sérülékenységben a Microsoft Windows 10 operációs rendszer is érintett. Az elemzés részletesen leírja, hogy minden létező Windows verzió esetén más és más módon aknázható ki a meglévő biztonsági rés.
Ráadásul az ETERNALBLUE sérülékenység többféleképpen is kihasználható, ezért a jövőben több WannaCry variáns is megjelenhet.
Ugyanakkor a Redstone 1 (2016. augusztus) és Redstone 2 (2017. április) frissítések telepítésével csökkenthető a kihasználhatóság, továbbá a MS17-010 frissítés végleg befoltozza a sérülékenységet. [13]
A malware kezdeti telepítőjének és az általa kibontott további fájloknak hash értékei:
Kezdeti telepítő:
MD5: db349b97c37d22f5ea1d1841e3c89eb4
SHA1: e889544aff85ffaf8b0d0da705105dee7c97fe26
SHA256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
tasksche.exe
MD5: 84c82835a5d21bbcf75a61706d8ab549
SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
taskse.exe
MD5: 8495400F199AC77853C53B5A3F278F3E
SHA256: 2CA2D550E603D74DEDDA03156023135B38DA3630CB014E3D00B1263358C5F00D
taskdl.exe
MD5: 4FEF5E34143E646DBF9907C4374276F5
SHA256: 4A468603FDCB7A2EB5770705898CF9EF37AADE532A7964642ECD705A74794B79
r.wnry
MD5: 3E0020FC529B1C2A061016DD2469BA96
SHA256: 402751FA49E0CB68FE052CB3DB87B05E71C1D950984D339940CF6B29409F2A7C
c.wnry
MD5: C49F0C5AF0DB35062EEC411F0122FDC4
SHA256: 42B8A5A7F47388D4062480480781C42102CF7FE18DD6299021C7894C2C33BA5C
t.wnry
MD5: 5DCAAC857E695A65F5C3EF1441A73A8F
SHA256: 97EBCE49B14C46BEBC9EC2448D00E1E397123B256E2BE9EBA5140688E7BC0AE6
u.wnry
MD5: 5DCAAC857E695A65F5C3EF1441A73A8F
SHA256: B9C5D4339809E0AD9A00D4D3DD26FDF44A32819A54ABF846BB9B560D81391C25
b.wnry
MD5: C17170262312F3BE7027BC2CA825BF0C
SHA256: D5E0E8694DDC0548D8E6B87C83D50F4AB85C1DEBADB106D6A6A794C3E746F4FA
s.wnry
MD5: A0D04DCFE4AD053AC1E4B68EE411C969
SHA256: E18FDD912DFE5B45776E68D578C3AF3547886CF1353D7086C8BEE037436DFF4B
Hivatkozások:
[3]https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[4]https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign
[5]https://krebsonsecurity.com/2017/05/u-k-hospitals-hit-in-widespread-ransomware-attack/
[6]https://support.kaspersky.com/shadowbrokers
[7]https://www.engadget.com/2017/05/13/Microsoft-WindowsXP-WannaCrypt-NHS-patch/
[8]http://blog.talosintelligence.com/2017/05/wannacry.html
[9]http://blog.checkpoint.com/2017/05/14/wannacry-paid-time-off/
[10]https://www.enisa.europa.eu/publications/info-notes/wannacry-ransomware-outburst
