Testování zranitelnosti na ransomware WannaCry

[Microsheep]

Zdravím,
testoval jsem dnes zranitelnost na ransomware WannaCry na větších sítích. Pokud by jste rovněž chtěli otestovat svojí síť, využívá se nmapu + skriptu na testování.

1) Stáhněte npcap installer ze stránek https://nmap.org/npcap/ a nainstalujte
2) Stáhněte nmap https://nmap.org/download.html a nainstalujte (odškrtněte npcap při instalaci - již máte nainstalováno)
pozn: nmap obsahuje i npcap v sobě, ale starou verzi, proto je nutné je stáhnout zvlášť, jinak skript nebude fungovat.
3) Skopírujte RAW script z githubu https://github.com/cldrn/nmap-nse-scrip ... 17-010.nse a vložte nový soubor do C:\Program Files (x86)\Nmap\scripts s názvem smb-vuln-ms17-010.nse a vložte zkopírovaný kód
4) Otevřte cmd v umístění C:\Program Files (x86)\Nmap a zadejte příkaz nmap --script-updatedb (tento krok nejspíš není potřeba)
5) Spustte zenmap.exe (pokud jste neodškrtli máte na ploše Nmap - Zenmap GUI)
6) Do command napište nmap -p 445 --script smb-vuln-ms17-010
7) Do Target napíšete rozsah IP adres nebo jednotlivé IP, které mají být skenované (např 10.0.0.0/23)
8 ) Výstup logu si můžete kopírovat do notepadu a vyhledat VULNERABILITY

Testují se samozřejmě zapnuté počítače, proto je dobré pouštět za provozu.
Podle výsledků je drtivá většina WinXP, Visty nebo neaktualizované 2008 např.
Desítky zatim žádné, ale otestuji více míst a kdyžtak dám update.

WinXP budete muset aktualizace na opravu stáhnout ručně, novější systémy by mělo stačit zaktualizovat.

Příklad ohrožené stanice/serveru: (adresy jsem nahradil pomlčkama)

Kód: Vybrat vše

Nmap scan report for ----------.cz (10.0.0.9)

Host is up (0.00s latency).

PORT    STATE SERVICE

445/tcp open  microsoft-ds

MAC Address: 00:50:56:--:--:-- (VMware)



Host script results:

| smb-vuln-ms17-010:

|   VULNERABLE:

|   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)

|     State: VULNERABLE

|     IDs:  CVE:CVE-2017-0143

|     Risk factor: HIGH

|       A critical remote code execution vulnerability exists in Microsoft SMBv1

|        servers (ms17-010).

|       

|     Disclosure date: 2017-03-14

|     References:

|       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143

|       https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

|_      https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[Reklama]

[faraon]

Jen pro zajímavost, kompatibilitu Wine s Widlemi se už před časem podařilo dostat na takovou úroveň, že většina virů funguje i pod Linuxem, a podle nejnovějších zjištění i WannaCry dokáže běžet ve Wine bez nejmenších problémů, takže ani linuxáci nejsou ochuzeni o možnost bezpečně zašifrovat svoje soubory: http://www.abclinuxu.cz/zpravicky/wannacry-a-linux

[petr22]

K tomu neni potreba Wine, kdyz existuje ransomware pro Linux (Android nepocitam, tam to ho je snad vic jak na Windows).

Nas Linux expert koukal na zasifrovany home a hlasku kolik ma zaplatit BTC jak tele na nova vrata.

[faraon]

Tak jestli je ten expert widlácký klikoň co si přečetl o Linuxu nějakou knížku, nelze se divit. takoví jsou všude...

[faraon]

Aktuálně: https://www.root.cz/zpravicky/wannacry-castecne-porazen-novy-nastroj-z-pameti-vytahne-klic/

P.S. Ale šíří se, pořád se šíří

[X]

Mě před pár dny napadlo poslat dotaz AVG podpoře, proč nepoužívají nějaký rezidentní štít na Ransomware, který by při podezřelé aktivitě (šifrování atd.) takový proces zablokoval či poslal dotaz uživateli, jestli to má blokovat. Dostalo se mi této odpovědi:



Dobrý deň,

ďakujeme Vám za kontaktovanie spoločnosti AVG.

Produkt AVG AntiVirus disponuje komponentami na ochranu pred takýmito útokmi, teda ste proti nim zabezpečený.

Vzhľadom k tomu, že tieto komponenty priamo podliehajú stálemu vývoju a priamo zasahujú do zdrojových súborov programov AVG, Vám nemôžeme poskytnúť akékoľvek bližšie, či už implementačné detaily alebo detaily behaviorálnych analýz pri aktivite týchto častí ochrany pred ransomware. Sú chránené proti zdieľaniu právami spoločnosti AVG. Ďakujeme Vám za pochopenie.

V prípade ďalších otázok nás neváhajte kedykoľvek kontaktovať.

S pozdravom

Martin Drengubiak
AVG Zákaznícka podpora
http://www.avg.cz



Požádal jsem tedy aspoň o upřesnění, zda to funguje na všechny druhy ransomware či jen na některé typy a dostal jsem tuto odpověď:



Dobrý deň,

ďakujeme Vám za kontaktovanie spoločnosti AVG.

Virové infekcie typu ransomware sú veľmi ťažko identifikovateľné vírusové infekcie, ktoré sa každý deň objavujú v nových, zdokonalených podobách. V každom prípade, naša spoločnosť pravidelne vydáva aktualizácie vírových definícií niekoľkokrát denne, teda robíme maximum pre udržanie všetkých našich zákazníkov, teda aj Vás,
v bezpečí.

Špecializované oddelenia, zvané aj vírusové laboratóriá, neustále zisťujú a spracuvávajú najnovšie hrozby internetu na základe ktorých vytvárajú aktualizáciu internetových hrozieb.

Preto ak vznikne nový druh ransomware, ktorý naša vírusová databáza neeviduje, môžete naň natrafiť len s minimálnou pravdepodobnosťou. V každom prípade dokážeme poskytnúť podporu aj v týchto prípadoch - poskytnutím nástrojov na odstránenie ransomware.

V každom Vám odporúčame dodržovať základné bezpečnostné body, aby ste sa podobným útokom vyvarovali - napríklad neotvárať prílohy v e-mailoch od neznámych príjemcov, prípadne sa nezdržiavať na webových lokalitách s pochybným obsahom.

V prípade ďalších otázok nás neváhajte kedykoľvek kontaktovať.

S pozdravom

Martin Drengubiak
AVG Zákaznícka podpora
http://www.avg.cz



Protože si myslím, že kdyby něco takového do AVG zahrnuli, tak by se tím jistě nezapomněli pochlubit například i přímo v reklamách uvnitř AVG programu. Takže spíš jen mlží, nebo je to zatím nějaká ne moc spolehlivá betaverze a pro jistotu jsem si nechal speciální antiransomware modul jiného antiviru (protože je to jen samostatný modul, tak se nebije s jiným antivirem) stále nainstalovaný a spuštěný ... Sice to také nebude jistě 100% ochrana, navíc působí jen na určité typy ransomwaru a už vůbec to není proti tomuto poslednímu typu, ale pořád lepší než nic a třeba mě to také v budoucnu zachrání "krk", člověk nikdy neví:

Bitdefender Anti-Ransomware >>> http://www.majorgeeks.com/files/details ... mware.html

Bitdefender Anti-Ransomware is a combination ransomware vaccine which allows users to immunize their computers and block any file encryption attempts from Cryptowall, Cryptolocker, CTB-Locker, Locky, and the TeslaCrypt families of ransomware.

[Microsheep]

Mě přijde, že Anti-Ransomware zní spíš jako pěkný název pro zákazníka.
I antivir, který neuvádí, že má nějaký modul anti-rasomware, samozřejmě tyto viry chytá.
Když jsem byl na školení ESETu tak říkali, že žádný antivirus není schopný zachytit všechen druh ransomware, jednoduše to nejde. Kdyby od AVG řekl, že blokují všechny druhy ransomware, tak by lhal. Proto nejlepším antivirem neustále zůstává ta věc mezi židlí a klávesnicí.

[faraon]

Tak ono by nemuselo být pro firmu příliš "zdravé", pokoušet se nějak moc blokovat kyberzbraň teroristů z NSA: https://www.lupa.cz/clanky/patecni-masivni-utok-ransomware-wcry/

Dokonce i M$ se vzteká že superstátní šmíráci zneužívají jejich dlouholeté díry: https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/

[X]

Detekce by měla probíhat na zjištění činností typických pro ransomware, tedy když se začne najednou spousta souborů šifrovat atd. Tedy i s antiransomware můžete přijít o pár souborů, ale posléze by to měl antiransomware zablokovat a původce odstranit, teoreticky by to mělo být univerzální, ale jak víme, často lze vymyslet záludní techniky, třeba se zašifruje boot a tím blokne celý systém ...