Ricordate l'attacco ransomware del secolo, quello di Wannacry? WannaCry ha registrato una virulenza impressionante grazie all'uso di una serie di exploit sottratti all'NSA dal gruppo hacker Shadow Brokers. Il più importante ed efficace di questi exploit è EternalBlue, che sfrutta una vulnerabilità del protocollo SMBv1.
Quando si registrarono le prime infezioni di WannaCry questa vulnerabilità era già stata risolta, ma da pochissimo tempo: la campagna di diffusione di WannaCry iniziò il 12 Maggio 2017, la patch diffusa da Microsoft per l'SMB, disponibile col bollettino di sicurezza MS17-010 risale al Marzo 2017. Insomma, gli utenti che sono stati colpiti da WannaCry nei primi mesi di diffusione sono "giustificabili": che ci sia troppa poca attenzione al problema delle vulnerabilità è un dato di fatto, ma qualche settimana di ritardo è quantomeno comprensibile.
Molto meno comprensibile è invece il fatto che EternalBlue stia tornando alla carica, come strumento di diffusione dei malware, a causa dell'evidenza (e i cyber criminali ben lo sanno) che sono ancora centinaia di migliaia i dispositivi che non hanno risolto la vulnerabilità del protocollo SMBv.1
Per approfondire:
Una nuova botnet Cyrptominer usa EternalBlue
Parliamo nuovamente di EternalBlue perchè è stata individuata, meno di tre giorni fa, una campagna malware (per adesso concentrata solo su utenti asiatici) che usa questo exploit e il tool Mimikatz per diffondere sui dispositivi infetti un miner per criptovaluta Monero.
In prima battuta la campagna sembrava concentrata contro dispositivi Giapponesi, ma in meno di quattro giorni ha dimostrato un alto livello di virulenza, spostandosi su vittime in Australia, Taiwan, Vietnam, Hong Kong e India.
Il malware per accedere alla macchina, ha due possibilità:
- l' attacco "pass the hash" per tentare di accedere al computer con una lista di credenziali deboli;
- l'exploit kit EternalBlue.
 |
| Il Payload di EternalBlue |
Se il malware ottiene l'accesso alla macchina infetta con almeno uno dei due metodi, modificherà immediatamente le impostazioni del firewall e del Port Forwarding, programmando inoltre una task per scaricare ed eseguire la copia del malware invece di diffonderlo direttamente al computer compromesso. Userà inoltre lo script Invoke-SMBClient per eseguire operazioni di vario genere sui file: eliminerà i file rilasciati da eventuali precedenti versioni del malware, si garantirà la persistenza aggiungendosi alla cartella Startup di Windows ecc...
Infine il malware scaricherà uno script dropper PowerShell dal proprio server di comando e controllo, oltre a raccogliere e sottrarre l'indirizzo MAC e l'elenco dei software di sicurezza e antimalware installati sul sistema.
 |
| Raccolta delle informazioni MAC e AV |
Nella fase successiva dell'attacco, il malware scaricherò un trojan che avvia di nuovo il processo di raccolta informazioni sul sistema,stavolta andando molto più a fondo: il nome computer, il GUID, l'indirizzo MAC la versione del sistema operativo, le impostazioni orarie e le informazioni sulla memoria grafica sono le ulteriori informazioni che vengono inviate al server C&C.
A questo punto viene scaricata una implementazione PowerShell di una variante di Mimikatz, operazione che garantisce al malware la capacità di auto propagazione (come i worm).
L'attacco ai database
Tra le altre funzioni dannose, il malware tenta l'accesso ai database usando credenziali SQL deboli, inoltre esegue la scansione dei blocchi IP in cerca di ulteriori dispositivi vulnerabili che possono essere violati con EternalBlue.
Il Payload finale
Solo adesso arriviamo alla fine del processo di infezione, col download del payload dannoso finale, il miner per Monero XMRig: viene distribuito usando PowerShell ed è iniettato direttamente nel suo stesso processo.
 |
| Il Payload di XMRig |
Brevi Conclusioni:
questa minaccia, per adesso, pare confinata al continente asiatico. Inutile dire che l'uso di EternalBlue e dell'auto propagazione la rendono però molto molto virulenta, con un alto tasso di propagazione che ha già consentito a questa campagna di diffondersi dal Giappone ad altri 5 stati in meno di 4 giorni. Ovviamente consigliamo l'installazione della patch per la vulnerabilità dell'SMBv1, ma anche la sostituzione di tutte le credenziali eccessivamente deboli (peggio ancora se di default) sul sistema.
Nessun commento:
Posta un commento