
Nella giornata di ieri 22 Maggio 2017, è stata identificata una campagna massiva di MALWARE ETERNALROCKS.
Al momento non è nota la diffusione dello stesso.
EternalRocks risulta essere una evoluzione della famiglia di ransomware WannaCry ma a differenza di questo è stato progettato con l’obiettivo di rimanere silente sui sistemi vittima.
Questo malware utilizza un numero superiore di Exploit per diffondersi.
In particolare utilizza gli exploit SMB: ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE and ETERNALSYNERGY oltre ai codici collegati: DOUBLEPULSAR, ARCHITOUCH and SMBTOUCH.
In dettaglio:
- EternalBlue — SMBv1 exploit tool
- EternalRomance — SMBv1 exploit tool
- EternalChampion — SMBv2 exploit tool
- EternalSynergy — SMBv3 exploit tool
- SMBTouch — SMB reconnaissance tool
- ArchTouch — SMB reconnaissance tool
- DoublePulsar — Backdoor Trojan
SMBTouch e ArchTouch sono strumenti di scansione utilizzati per trovare porte SMB aperte su Internet.
EternalBlue, EternalChampio, EternalSynergy ed EternalRomance sono exploit per SMB, sviluppati per colpire le versioni di windows vulnerabili sfruttando poi DoublePulsar per diffondorsi all’interno della rete interna sugli altri sistemi vulnerabili identificati.
Al momento non si ha la certezza di quale sia il vettore di attacco utilizzato dagli attaccanti per distribuire il malware, anche se si ipotizza possa avvenire tramite e-mail o direttamente su porta SMB TCP/445.
L’entità della minaccia risulta critica in quanto il malware sfrutta una vulnerabilità del protocollo SMB v1 per propagarsi nella rete interna, tramite exploit reso pubblico da “ShadowBroker” nell’occasione del leak dei toolkit NSA.
Questo malware agisce in due stage:
- Il primo stadio: UpdateInstaller.exe scarica i componenti necessari di .NET per le fasi successive.
Scarica quindi TaskScheduler e SharpZLib da Internet, nel mentre inserisce codice in svchost.exe e taskhost.exe. Il processo svchost.exe viene quindi utilizzato per scaricare, estrarre ed eseguire Tor da archive.torproject.org assieme a comunicazione di command e control diretta ad al link per esempio (ubgdgno5eswkhmpy.onion) di modo da richiedere altri compoenti.
- Il secondo stadio: taskhost.exe viene scaricato ed eseguito dopo un periodo predefinito (24h) da per esempio http://ubgdgno5eswkhmpy.onion/updates/download?id=PC.
Dopo la prima esecuzione Scarica l’exploit pack shadowbrokers.zip preparando l’ambiente. A termine di questa fase avvierà una scansione casuale di porte aperte 445 (SMB) di modo da continuare la diffusione.
La vulnerabilità risulta essere stata “patchata” nel mese di Marzo 2017 da Microsoft sui sistemi Microsoft Windows grazie al bollettino di sicurezza MS17-010.
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
E’ possibile difendere la propria infrastruttura interna adottando i seguenti accorgimenti:
- (Consigliato)
Installare le patch rilasciate nel bollettino di sicurezza Microsoft di Marzo MS17-010, https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
- (Alternativa)
Disabilitare il protocollo SMB v1: la versione 1 del protocollo SMB risulta vecchia e non più utilizzata, se non in ambienti in cui è necessario un alta “retro-compatibilità” con S.O. Microsoft non più supportati (Windows 2000, Windows XP).
Di seguito gli IoC identificativi del Malware EternalRocks:
First stage: |
|
FileHash | e049d8f69ddee0c2d360c27b98fa9e61b7202bb0d3884dd3ca63f8aa288422dc # UpdateInstaller.exe (captured) |
FileHash | 1ee894c0b91f3b2f836288c22ebeab44798f222f17c255f557af2260b8c6a32d # UpdateInstaller.exe (variant) |
FileHash | 64442cceb7d618e70c62d461cfaafdb8e653b8d98ac4765a6b3d8fd1ea3bce15 # UpdateInstaller.exe (variant) |
FileHash | 94189147ba9749fd0f184fe94b345b7385348361480360a59f12adf477f61c97 # UpdateInstaller.exe (variant) |
FileHash | 9bd32162e0a50f8661fd19e3b26ff65868ab5ea636916bd54c244b0148bd9c1b # UpdateInstaller.exe (variant) |
FileHash | a7c387b4929f51e38706d8b0f8641e032253b07bc2869a450dfa3df5663d7392 # UpdateInstaller.exe (variant) |
FileHash | ad8965e531424cb34120bf0c1b4b98d4ab769bed534d9a36583364e9572332fa # UpdateInstaller.exe (variant) |
FileHash | b2ca4093b2e0271cb7a3230118843fccc094e0160a0968994ed9f10c8702d867 # UpdateInstaller.exe (variant) |
FileHash | c999bf5da5ea3960408d3cba154f965d3436b497ac9d4959b412bfcd956c8491 # UpdateInstaller.exe (variant) |
FileHash | d43c10a2c983049d4a32487ab1e8fe7727646052228554e0112f6651f4833d2c # UpdateInstaller.exe (variant) |
FileHash | d86af736644e20e62807f03c49f4d0ad7de9cbd0723049f34ec79f8c7308fdd5 # UpdateInstaller.exe (variant) |
FileHash | fc75410aa8f76154f5ae8fe035b9a13c76f6e132077346101a0d673ed9f3a0dd # UpdateInstaller.exe (variant) |
|
|
Second stage: |
|
FileHash | cf8533849ee5e82023ad7adbdbd6543cb6db596c53048b1a0c00b3643a72db30 # taskhost.exe (captured) |
FileHash | a77c61e86bc69fdc909560bb7a0fa1dd61ee6c86afceb9ea17462a97e7114ab0 # taskhost.exe (variant) |
FileHash | 70ec0e2b6f9ff88b54618a5f7fbd55b383cf62f8e7c3795c25e2f613bfddf45d # shadowbrokers.zip (exploits) |
Uno dei Server di Command & Control identificato è: ubgdgno5eswkhmpy.onion
In qualità di Network & Security Company, Sorint.SEC eroga servizi di sicurezza informatica volti a garantire una protezione avanzata delle più diverse e complesse infrastrutture.
Nello specifico, eroga servizi di Managed Next Generation EndPoint Protection con lo scopo di aumentare la protezione delle organizzazioni contro le minacce avanzate indirizzate agli EndPoint presenti all’interno dell’infrastruttura.
Maggiori informazioni circa i servizi di protezione e sicurezza gestita, offerti da Sorint.SEC, sono disponibili ai seguenti link:
https://sec.sorint.it/it/managedendpointprotection
Di seguito una lista di link utili per aiutare a comprendere meglio la minaccia:
- https://github.com/stamparm/EternalRocks
- http://www.securityweek.com/eternalrocks-network-worm-leverages-7-nsa-hacking-tools
- https://nakedsecurity.sophos.com/2017/05/22/after-wannacry-eternalrocks-digs-deeper-into-the-nsas-exploit-toolbox/
- http://thehackernews.com/2017/05/smb-windows-hacking-tools.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
Devi effettuare l'accesso per postare un commento.