Campagna massiva Malware EternalRocks

EternalRocks Worm

Nella giornata di ieri 22 Maggio 2017, è stata identificata una campagna massiva di MALWARE ETERNALROCKS.

Al momento non è nota la diffusione dello stesso.

EternalRocks risulta essere una evoluzione della famiglia di ransomware WannaCry ma a differenza di questo è stato progettato con l’obiettivo di rimanere silente sui sistemi vittima.

Questo malware utilizza un numero superiore di Exploit per diffondersi.

In particolare utilizza gli exploit SMB: ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE and ETERNALSYNERGY oltre ai codici collegati: DOUBLEPULSAR, ARCHITOUCH and SMBTOUCH.

In dettaglio:

  • EternalBlue — SMBv1 exploit tool
  • EternalRomance — SMBv1 exploit tool
  • EternalChampion — SMBv2 exploit tool
  • EternalSynergy — SMBv3 exploit tool
  • SMBTouch — SMB reconnaissance tool
  • ArchTouch — SMB reconnaissance tool
  • DoublePulsar — Backdoor Trojan

SMBTouch e ArchTouch sono strumenti di scansione utilizzati per trovare porte SMB aperte su Internet.

EternalBlueEternalChampioEternalSynergy ed EternalRomance sono exploit per SMB, sviluppati per colpire le versioni di windows vulnerabili sfruttando poi DoublePulsar per diffondorsi all’interno della rete interna sugli altri sistemi vulnerabili identificati.

Al momento non si ha la certezza di quale sia il vettore di attacco utilizzato dagli attaccanti per distribuire il malware, anche se si ipotizza possa avvenire tramite e-mail o direttamente su porta SMB TCP/445.

L’entità della minaccia risulta critica in quanto il malware sfrutta una vulnerabilità del protocollo SMB v1 per propagarsi nella rete interna, tramite exploit reso pubblico da “ShadowBroker” nell’occasione del leak dei toolkit NSA.

Questo malware agisce in due stage:

  • Il primo stadio: UpdateInstaller.exe scarica i componenti necessari di .NET per le fasi successive.

Scarica quindi TaskScheduler e SharpZLib da Internet, nel mentre inserisce codice in svchost.exe e taskhost.exe. Il processo svchost.exe viene quindi utilizzato per scaricare, estrarre ed eseguire Tor da archive.torproject.org assieme a comunicazione di command e control diretta ad al link per esempio (ubgdgno5eswkhmpy.onion) di modo da richiedere altri compoenti.

Dopo la prima esecuzione Scarica l’exploit pack shadowbrokers.zip preparando l’ambiente. A termine di questa fase avvierà una scansione casuale di porte aperte 445 (SMB) di modo da continuare la diffusione.

 

La vulnerabilità risulta essere stata “patchata” nel mese di Marzo 2017 da Microsoft sui sistemi Microsoft Windows grazie al bollettino di sicurezza MS17-010.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

E’ possibile difendere la propria infrastruttura interna adottando i seguenti accorgimenti:

  • (Consigliato)

Installare le patch rilasciate nel bollettino di sicurezza Microsoft di Marzo MS17-010, https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

  • (Alternativa)

Disabilitare il protocollo SMB v1: la versione 1 del protocollo SMB risulta vecchia e non più utilizzata, se non in ambienti in cui è necessario un alta “retro-compatibilità” con S.O. Microsoft non più supportati (Windows 2000, Windows XP).

 

Di seguito gli IoC identificativi del Malware EternalRocks:

First stage:

 

FileHash

e049d8f69ddee0c2d360c27b98fa9e61b7202bb0d3884dd3ca63f8aa288422dc # UpdateInstaller.exe (captured)

FileHash

1ee894c0b91f3b2f836288c22ebeab44798f222f17c255f557af2260b8c6a32d # UpdateInstaller.exe (variant)

FileHash

64442cceb7d618e70c62d461cfaafdb8e653b8d98ac4765a6b3d8fd1ea3bce15 # UpdateInstaller.exe (variant)

FileHash

94189147ba9749fd0f184fe94b345b7385348361480360a59f12adf477f61c97 # UpdateInstaller.exe (variant)

FileHash

9bd32162e0a50f8661fd19e3b26ff65868ab5ea636916bd54c244b0148bd9c1b # UpdateInstaller.exe (variant)

FileHash

a7c387b4929f51e38706d8b0f8641e032253b07bc2869a450dfa3df5663d7392 # UpdateInstaller.exe (variant)

FileHash

ad8965e531424cb34120bf0c1b4b98d4ab769bed534d9a36583364e9572332fa # UpdateInstaller.exe (variant)

FileHash

b2ca4093b2e0271cb7a3230118843fccc094e0160a0968994ed9f10c8702d867 # UpdateInstaller.exe (variant)

FileHash

c999bf5da5ea3960408d3cba154f965d3436b497ac9d4959b412bfcd956c8491 # UpdateInstaller.exe (variant)

FileHash

d43c10a2c983049d4a32487ab1e8fe7727646052228554e0112f6651f4833d2c # UpdateInstaller.exe (variant)

FileHash

d86af736644e20e62807f03c49f4d0ad7de9cbd0723049f34ec79f8c7308fdd5 # UpdateInstaller.exe (variant)

FileHash

fc75410aa8f76154f5ae8fe035b9a13c76f6e132077346101a0d673ed9f3a0dd # UpdateInstaller.exe (variant)

 

 

Second stage:

 

FileHash

cf8533849ee5e82023ad7adbdbd6543cb6db596c53048b1a0c00b3643a72db30 # taskhost.exe (captured)

FileHash

a77c61e86bc69fdc909560bb7a0fa1dd61ee6c86afceb9ea17462a97e7114ab0 # taskhost.exe (variant)

FileHash

70ec0e2b6f9ff88b54618a5f7fbd55b383cf62f8e7c3795c25e2f613bfddf45d # shadowbrokers.zip (exploits)

 

Uno dei Server di Command & Control identificato è: ubgdgno5eswkhmpy.onion

 

In qualità di Network & Security Company, Sorint.SEC eroga servizi di sicurezza informatica volti a garantire una protezione avanzata delle più diverse e complesse infrastrutture.

Nello specifico, eroga servizi di Managed Next Generation EndPoint Protection con lo scopo di aumentare la protezione delle organizzazioni contro le minacce avanzate indirizzate agli EndPoint presenti all’interno dell’infrastruttura.

Maggiori informazioni circa i servizi di protezione e sicurezza gestita, offerti da Sorint.SEC, sono disponibili ai seguenti link:

https://sec.sorint.it/it/managedendpointprotection

https://sec.sorint.it/it/soc

 

Di seguito una lista di link utili per aiutare a comprendere meglio la minaccia: