Testování zranitelnosti na ransomware WannaCry

Sekce věnovaná virům a jiným škodlivým kódům, rovněž ale nástrojům, kterým se lze proti nim bránit…

Moderátoři: memphisto, Mods_senior, Security team

Uživatelský avatar
Microsheep
Level 4
Level 4
Příspěvky: 1110
Registrován: leden 10
Pohlaví: Muž

Testování zranitelnosti na ransomware WannaCry

Příspěvekod Microsheep » 18 kvě 2017 15:02

Zdravím,
testoval jsem dnes zranitelnost na ransomware WannaCry na větších sítích. Pokud by jste rovněž chtěli otestovat svojí síť, využívá se nmapu + skriptu na testování.

1) Stáhněte npcap installer ze stránek https://nmap.org/npcap/ a nainstalujte
2) Stáhněte nmap https://nmap.org/download.html a nainstalujte (odškrtněte npcap při instalaci - již máte nainstalováno)
pozn: nmap obsahuje i npcap v sobě, ale starou verzi, proto je nutné je stáhnout zvlášť, jinak skript nebude fungovat.
3) Skopírujte RAW script z githubu https://github.com/cldrn/nmap-nse-scrip ... 17-010.nse a vložte nový soubor do C:\Program Files (x86)\Nmap\scripts s názvem smb-vuln-ms17-010.nse a vložte zkopírovaný kód
4) Otevřte cmd v umístění C:\Program Files (x86)\Nmap a zadejte příkaz nmap --script-updatedb (tento krok nejspíš není potřeba)
5) Spustte zenmap.exe (pokud jste neodškrtli máte na ploše Nmap - Zenmap GUI)
6) Do command napište nmap -p 445 --script smb-vuln-ms17-010
7) Do Target napíšete rozsah IP adres nebo jednotlivé IP, které mají být skenované (např 10.0.0.0/23)
8 ) Výstup logu si můžete kopírovat do notepadu a vyhledat VULNERABILITY

Testují se samozřejmě zapnuté počítače, proto je dobré pouštět za provozu.
Podle výsledků je drtivá většina WinXP, Visty nebo neaktualizované 2008 např.
Desítky zatim žádné, ale otestuji více míst a kdyžtak dám update.

WinXP budete muset aktualizace na opravu stáhnout ručně, novější systémy by mělo stačit zaktualizovat.

Příklad ohrožené stanice/serveru: (adresy jsem nahradil pomlčkama)

Kód: Vybrat vše

Nmap scan report for ----------.cz (10.0.0.9)

Host is up (0.00s latency).

PORT    STATE SERVICE

445/tcp open  microsoft-ds

MAC Address: 00:50:56:--:--:-- (VMware)



Host script results:

| smb-vuln-ms17-010:

|   VULNERABLE:

|   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)

|     State: VULNERABLE

|     IDs:  CVE:CVE-2017-0143

|     Risk factor: HIGH

|       A critical remote code execution vulnerability exists in Microsoft SMBv1

|        servers (ms17-010).

|       

|     Disclosure date: 2017-03-14

|     References:

|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143

|       https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

|_      https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Naposledy upravil(a) Microsheep dne 22 kvě 2017 09:50, celkem upraveno 1 x.


Ryzen 5 1400 | MSI B350M GAMING PRO | MSI GeForce GTX 1050 Ti 4GT | 2x8GB Corsair
Media Creation Tool | Crystal disk Info | Ninite | NirLaucher

Reklama
Uživatelský avatar
faraon
Master Level 8
Master Level 8
Příspěvky: 6019
Registrován: prosinec 10
Pohlaví: Muž

Re: Testování zranitelnosti na ransomware WannaCry

Příspěvekod faraon » 18 kvě 2017 19:51

Jen pro zajímavost, kompatibilitu Wine s Widlemi se už před časem podařilo dostat na takovou úroveň, že většina virů funguje i pod Linuxem, a podle nejnovějších zjištění i WannaCry dokáže běžet ve Wine bez nejmenších problémů, takže ani linuxáci nejsou ochuzeni o možnost bezpečně zašifrovat svoje soubory: http://www.abclinuxu.cz/zpravicky/wannacry-a-linux :lol:
Nejhroznější sen linuxáka: nabootuje počítač, a tam Windows.
Nejhroznější sen windowsáka: nabootuje počítač, a tam Linux.
Nejkrásnější sen linuxáka: nabootuje počítač, a tam Linux.
Nejkrásnější sen windowsáka: nabootuje počítač.

petr22
Guru Level 14
Guru Level 14
Příspěvky: 28604
Registrován: únor 12
Pohlaví: Muž

Re: Testování zranitelnosti na ransomware WannaCry

Příspěvekod petr22 » 18 kvě 2017 19:54

K tomu neni potreba Wine, kdyz existuje ransomware pro Linux (Android nepocitam, tam to ho je snad vic jak na Windows).

Nas Linux expert koukal na zasifrovany home a hlasku kolik ma zaplatit BTC jak tele na nova vrata.

Uživatelský avatar
faraon
Master Level 8
Master Level 8
Příspěvky: 6019
Registrován: prosinec 10
Pohlaví: Muž

Re: Testování zranitelnosti na ransomware WannaCry

Příspěvekod faraon » 19 kvě 2017 16:12

Tak jestli je ten expert widlácký klikoň co si přečetl o Linuxu nějakou knížku, nelze se divit. takoví jsou všude... :lol:

Obrázek
Nejhroznější sen linuxáka: nabootuje počítač, a tam Windows.
Nejhroznější sen windowsáka: nabootuje počítač, a tam Linux.
Nejkrásnější sen linuxáka: nabootuje počítač, a tam Linux.
Nejkrásnější sen windowsáka: nabootuje počítač.

Uživatelský avatar
faraon
Master Level 8
Master Level 8
Příspěvky: 6019
Registrován: prosinec 10
Pohlaví: Muž

Re: Testování zranitelnosti na ransomware WannaCry

Příspěvekod faraon » 19 kvě 2017 22:27

Nejhroznější sen linuxáka: nabootuje počítač, a tam Windows.
Nejhroznější sen windowsáka: nabootuje počítač, a tam Linux.
Nejkrásnější sen linuxáka: nabootuje počítač, a tam Linux.
Nejkrásnější sen windowsáka: nabootuje počítač.

Uživatelský avatar
X
Tvůrce článků
Elite Level 12.5
Elite Level 12.5
Příspěvky: 18826
Registrován: květen 07
Bydliště: ČR: Vysočina: Havlíčkův Brod
Pohlaví: Muž

Re: Testování zranitelnosti na ransomware WannaCry

Příspěvekod X » 19 kvě 2017 23:13

Mě před pár dny napadlo poslat dotaz AVG podpoře, proč nepoužívají nějaký rezidentní štít na Ransomware, který by při podezřelé aktivitě (šifrování atd.) takový proces zablokoval či poslal dotaz uživateli, jestli to má blokovat. Dostalo se mi této odpovědi:



Dobrý deň,

ďakujeme Vám za kontaktovanie spoločnosti AVG.

Produkt AVG AntiVirus disponuje komponentami na ochranu pred takýmito útokmi, teda ste proti nim zabezpečený.

Vzhľadom k tomu, že tieto komponenty priamo podliehajú stálemu vývoju a priamo zasahujú do zdrojových súborov programov AVG, Vám nemôžeme poskytnúť akékoľvek bližšie, či už implementačné detaily alebo detaily behaviorálnych analýz pri aktivite týchto častí ochrany pred ransomware. Sú chránené proti zdieľaniu právami spoločnosti AVG. Ďakujeme Vám za pochopenie.

V prípade ďalších otázok nás neváhajte kedykoľvek kontaktovať.

S pozdravom

Martin Drengubiak
AVG Zákaznícka podpora
http://www.avg.cz




Požádal jsem tedy aspoň o upřesnění, zda to funguje na všechny druhy ransomware či jen na některé typy a dostal jsem tuto odpověď:



Dobrý deň,

ďakujeme Vám za kontaktovanie spoločnosti AVG.

Virové infekcie typu ransomware sú veľmi ťažko identifikovateľné vírusové infekcie, ktoré sa každý deň objavujú v nových, zdokonalených podobách. V každom prípade, naša spoločnosť pravidelne vydáva aktualizácie vírových definícií niekoľkokrát denne, teda robíme maximum pre udržanie všetkých našich zákazníkov, teda aj Vás,
v bezpečí.

Špecializované oddelenia, zvané aj vírusové laboratóriá, neustále zisťujú a spracuvávajú najnovšie hrozby internetu na základe ktorých vytvárajú aktualizáciu internetových hrozieb.

Preto ak vznikne nový druh ransomware, ktorý naša vírusová databáza neeviduje, môžete naň natrafiť len s minimálnou pravdepodobnosťou. V každom prípade dokážeme poskytnúť podporu aj v týchto prípadoch - poskytnutím nástrojov na odstránenie ransomware.

V každom Vám odporúčame dodržovať základné bezpečnostné body, aby ste sa podobným útokom vyvarovali - napríklad neotvárať prílohy v e-mailoch od neznámych príjemcov, prípadne sa nezdržiavať na webových lokalitách s pochybným obsahom.

V prípade ďalších otázok nás neváhajte kedykoľvek kontaktovať.

S pozdravom

Martin Drengubiak
AVG Zákaznícka podpora
http://www.avg.cz




Protože si myslím, že kdyby něco takového do AVG zahrnuli, tak by se tím jistě nezapomněli pochlubit například i přímo v reklamách uvnitř AVG programu. Takže spíš jen mlží, nebo je to zatím nějaká ne moc spolehlivá betaverze a pro jistotu jsem si nechal speciální antiransomware modul jiného antiviru (protože je to jen samostatný modul, tak se nebije s jiným antivirem) stále nainstalovaný a spuštěný ... Sice to také nebude jistě 100% ochrana, navíc působí jen na určité typy ransomwaru a už vůbec to není proti tomuto poslednímu typu, ale pořád lepší než nic a třeba mě to také v budoucnu zachrání "krk", člověk nikdy neví:

Bitdefender Anti-Ransomware >>> http://www.majorgeeks.com/files/details ... mware.html

Bitdefender Anti-Ransomware is a combination ransomware vaccine which allows users to immunize their computers and block any file encryption attempts from Cryptowall, Cryptolocker, CTB-Locker, Locky, and the TeslaCrypt families of ransomware.

Obrázek

Obrázek
KATEGORIE:​SYSTÉM​NET​DATA​EMULACE​HRY​VIDEO​AUDIO​GRAFIKA​TEXT‌​‌​ ‌​‌​APP‌‌‌‌​Brigády‌​Filmy‌​Firefox​​●‌​FormátHlavolam‌​●‌​Hra‌​●‌​Hry‌​​Ikony‌​Klipy‌​Knihy‌​●‌​KomixyKoš‌​Melodrama‌​NákupyOdkazy‌​OS‌​Plné hry‌​●‌​RubikSam CoupéSoftware‌​●‌​Šedá zónaTV‌​‌​TV‌​Úložiště‌​VideoNovinky‌​Zajímavosti‌​Znaky

Uživatelský avatar
Microsheep
Level 4
Level 4
Příspěvky: 1110
Registrován: leden 10
Pohlaví: Muž

Re: Testování zranitelnosti na ransomware WannaCry

Příspěvekod Microsheep » 20 kvě 2017 08:47

Mě přijde, že Anti-Ransomware zní spíš jako pěkný název pro zákazníka.
I antivir, který neuvádí, že má nějaký modul anti-rasomware, samozřejmě tyto viry chytá.
Když jsem byl na školení ESETu tak říkali, že žádný antivirus není schopný zachytit všechen druh ransomware, jednoduše to nejde. Kdyby od AVG řekl, že blokují všechny druhy ransomware, tak by lhal. Proto nejlepším antivirem neustále zůstává ta věc mezi židlí a klávesnicí.
Ryzen 5 1400 | MSI B350M GAMING PRO | MSI GeForce GTX 1050 Ti 4GT | 2x8GB Corsair
Media Creation Tool | Crystal disk Info | Ninite | NirLaucher

Uživatelský avatar
faraon
Master Level 8
Master Level 8
Příspěvky: 6019
Registrován: prosinec 10
Pohlaví: Muž

Re: Testování zranitelnosti na ransomware WannaCry

Příspěvekod faraon » 20 kvě 2017 09:18

Tak ono by nemuselo být pro firmu příliš "zdravé", pokoušet se nějak moc blokovat kyberzbraň teroristů z NSA: https://www.lupa.cz/clanky/patecni-masivni-utok-ransomware-wcry/

Dokonce i M$ se vzteká že superstátní šmíráci zneužívají jejich dlouholeté díry: https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/
Nejhroznější sen linuxáka: nabootuje počítač, a tam Windows.
Nejhroznější sen windowsáka: nabootuje počítač, a tam Linux.
Nejkrásnější sen linuxáka: nabootuje počítač, a tam Linux.
Nejkrásnější sen windowsáka: nabootuje počítač.

Uživatelský avatar
X
Tvůrce článků
Elite Level 12.5
Elite Level 12.5
Příspěvky: 18826
Registrován: květen 07
Bydliště: ČR: Vysočina: Havlíčkův Brod
Pohlaví: Muž

Re: Testování zranitelnosti na ransomware WannaCry

Příspěvekod X » 20 kvě 2017 10:41

Detekce by měla probíhat na zjištění činností typických pro ransomware, tedy když se začne najednou spousta souborů šifrovat atd. Tedy i s antiransomware můžete přijít o pár souborů, ale posléze by to měl antiransomware zablokovat a původce odstranit, teoreticky by to mělo být univerzální, ale jak víme, často lze vymyslet záludní techniky, třeba se zašifruje boot a tím blokne celý systém ...
KATEGORIE:​SYSTÉM​NET​DATA​EMULACE​HRY​VIDEO​AUDIO​GRAFIKA​TEXT‌​‌​ ‌​‌​APP‌‌‌‌​Brigády‌​Filmy‌​Firefox​​●‌​FormátHlavolam‌​●‌​Hra‌​●‌​Hry‌​​Ikony‌​Klipy‌​Knihy‌​●‌​KomixyKoš‌​Melodrama‌​NákupyOdkazy‌​OS‌​Plné hry‌​●‌​RubikSam CoupéSoftware‌​●‌​Šedá zónaTV‌​‌​TV‌​Úložiště‌​VideoNovinky‌​Zajímavosti‌​Znaky


Zpět na “Viry, antiviry, firewally…”

Kdo je online

Uživatelé prohlížející si toto fórum: CommonCrawl [Bot] a 0 hostů