Mai più WannaCry: worm ransomware IOC, Tor C2 e analisi tecnica + regole SIEM

[post-views]
Maggio 13, 2017 · 12 min di lettura
Mai più WannaCry: worm ransomware IOC, Tor C2 e analisi tecnica + regole SIEM

Buone notizie a tutti!

Dopo una lunga giornata, notte e mattina di studio delle notizie, ricerca e caccia al ransomware #WannaCry ci sono alcune scoperte da condividere. Questo include IOCs di Host e Network, la loro analisi ottenuta con l’aiuto di altri ricercatori e professionisti della sicurezza, la revisione dell’infrastruttura C2 e le sue interazioni con Tor. Per ultimo, ma non meno importante, ci sono alcuni casi d’uso gratuiti di SIEM che possono aiutarti immediatamente a rilevare e iniziare a bloccare il disastro sopra menzionato dall’escalation. E c’è una rapida recensione delle firme SIGMA che ho appena scoperto (Yara per SIEM). Disclaimer: l’obiettivo di questo post è fornire IOCs e indicazioni su come rilevare e bloccare la minaccia ransomware #WannaCry utilizzando strumenti SIEM, OSINT, firewall, proxy/gateway di sicurezza e fare tutto questo nel più breve tempo possibile. Questa non è un’analisi retrospettiva del malware o un articolo mediatico, c’è un grande lavoro fatto in quest’ultimo settore da molte persone già (sapete chi siete, grazie per l’aiuto!)

Analisi Macro

Nel caso abbiate perso l’intera esplosione mediatica sull’epidemia del ransomware worm #WannaCry / #WannaCrypt che ha colpito il mondo venerdì 12th2017, questi 2 articoli di alto livello mi sembrano i più completi e facili da comprendere tra i 40 circa che ho letto finora:forbes.comblog.qualys.com.

E una registrazione della mappa dell’attacco da MalwareTech che ha preso il controllo di uno dei domini del malware.

Ma perché non Cisco Talos? Ecco il link http://blog.talosintelligence.com/2017/05/wannacry.html, ma quell’articolo è una lunga lettura e solleva domande sulla parte tecnica (leggi per vedere perché). E se stai leggendo questo significa che siamo insieme per risolvere la natura tecnica di questo incidente e impedirne il ripetersi e di attacchi simili in futuro.

Concludendo l’analisi macro, da un collega della sicurezza:“Abbastanza giusto, ma il mio vero punto è che, ora che gli strumenti di hacking della CIA / NSA sono stati divulgati, sono sicuro che accadrà di nuovo… le aziende dovranno essere proattive, interrogare il loro CMDB, e localizzare questi sistemi non supportati, e aggiornarli rapidamente, indurirli disabilitando qualsiasi servizio Windows non essenziale, e sottoporre i più critici ad un test di penetrazione di terze parti… se l’azienda sceglie di ‘accettare il rischio’ (per evitare il costo), è solo giusto che il rischio venga spiegato loro pienamente.”

Passiamo alla parte divertente!

IOCs di rete e loro usabilità

Per quanto riguarda OSINT, siamo stati in grado di scoprire 39 indirizzi IP, a volte con porte, protocolli e commenti. Questo è venuto da McAfee, Cisco Talos e dal campione sandbox di Payload Security. Sappiamo tutti che l’IP di per sé non è una buona #threatintel quindi facciamo un’analisi di ciò che vediamo e come può aiutarci a Rilevare e Bloccare WannaCry / WannaCrypt o qualsiasi cosa che voglia #wannamesswithourproperty. Ogni IP è stato pingato, analizzato via VirusTotal e con il feed DetectTor di SOCPrime. Quest’ultimo è una raccolta di 1,5 anni di attività della rete Tor raccolta in tempo reale. Tabella iniziale per il vostro riferimento.

IP Porta Proto Fonte Geo ASN Organizzazione Tipo di Tor Stato VT
104.131.84.119 443 McAfee US 393406 Digital Ocean Ex Nodo Pulito
128.31.0.39 9101 TCP Payload Security US 3 MIT Ex Nodo Dannoso
128.31.0.39 Cisco Talos Yes Dannoso
136.243.176.148 443 TCP Payload Security DE 24940 Hetzner Online AG Ex Nodo Dannoso
146.0.32.144 9001 Cisco Talos DE 24961 myLoc managed IT AG Ex Nodo Dannoso
163.172.153.12 9001 TCP Payload Security GB ONLINE SAS Yes Dannoso
163.172.185.132 443 TCP Payload Security GB ONLINE SAS Yes Dannoso
163.172.25.118 22 McAfee GB Yes Dannoso
163.172.35.247 443 TCP Payload Security FR ONLINE SAS Uscita, Guardia Forse pulito
171.25.193.9 80 TCP Payload Security SE 198093 Foreningen per i diritti digitali liberi Nodo di uscita Dannoso
178.254.44.135 9001 McAfee DE 42730 EVANZO e-commerceGmbH Ex Nodo Dannoso
178.62.173.203 9001 TCP Payload Security NL 200130 Digital Ocean Ex Nodo Dannoso
185.97.32.18 9001 TCP Payload Security SE 44581 AllTele Allmanna Svenska Telefonaktiebolaget Ex Nodo Dannoso
188.138.33.220 Cisco Talos DE 8972 intergenia AG Dannoso
188.166.23.127 443 Cisco Talos NL 202018 Digital Ocean Ex Nodo Dannoso
192.42.115.102 9004 McAfee NL 1103 SURFnet Ex Nodo Dannoso
193.23.244.244 443 Cisco Talos DE 50472 Chaos Computer Club e.V. Ex Nodo Dannoso
198.199.64.217 443 McAfee US 46652 ServerStack Ex Nodo Dannoso
2.3.69.209 9001 Cisco Talos FR 3215 Orange Ex Nodo Pulito
212.47.232.237 Cisco Talos FR 12876 Tiscali France Ex Nodo Dannoso
213.239.216.222 443 McAfee DE 24940 Hetzner Online AG Ex Nodo Dannoso
213.61.66.116 9003 TCP Payload Security DE 8220 COLT Technology Services Group Limited Ex Nodo Dannoso
213.61.66.116 Cisco Talos DE 8220 COLT Technology Services Group Limited Ex Nodo Dannoso
217.172.190.251 443 TCP Payload Security DE 8972 intergenia AG Ex Nodo Pulito
217.79.179.77 Cisco Talos DE 24961 myLoc managed IT AG Pulito
38.229.72.16 Cisco Talos US 23028 Team Cymru Dannoso
50.7.151.47 443 TCP Payload Security US 174 FDCservers.net Ex Nodo Dannoso
50.7.161.218 9001 Cisco Talos NL 174 FDCservers.net Ex Nodo Dannoso
51.255.41.65 9001 McAfee FR 16276 OVH SAS Ex Nodo Dannoso
62.138.10.60 9001 McAfee DE 61157 Heg mas Ex Nodo Dannoso
62.138.7.231 9001 TCP Payload Security DE 61157 Heg mas Ex Nodo Dannoso
79.172.193.32 Cisco Talos HU 29278 Deninet KFT Ex Nodo Dannoso
81.30.158.223 Cisco Talos DE 24961 myLoc managed IT AG Vserver Netz Ex Nodo Dannoso
82.94.251.227 443 McAfee NL 3265 XS4ALL Internet BV Ex Nodo Dannoso
83.162.202.182 9001 TCP Payload Security NL 3265 XS4ALL Internet BV Ex Nodo Dannoso
83.169.6.12 9001 McAfee DE 20773 Host Europe GmbH Ex Nodo Dannoso
86.59.21.38 443 McAfee AT 3248 Tele2 Telecommunication GmbH Ex Nodo Dannoso
89.45.235.21 Cisco Talos SE 1653 SUNET/NORDUnet Yes Dannoso
94.23.173.93 443 TCP Payload Security FR 16276 OVH.CZ s.r.o. Ex Nodo Dannoso

Cosa vediamo? 36 su 39 IP o il 92% degli indirizzi C2 segnalati sono, attenzione! Nodi Tor. E 37 IP sono stati segnalati come dannosi da VirusTotal entro giorni o 1,5 mesi dagli incidenti, e questo è l’87%. Ma perché vediamo quasi nessuna porta? Analizziamo ulteriormente, non c’è tempo per disegnare un bel quadro (anche le mie capacità di disegno sono scarse) quindi condividerò 2 immagini di un’altra tabella .XLS:

Cosa succede con le tabelle e i colori? Per citare alcune cose:

1) C’è solo 1 Hidden Tor Bridge (arancione). Questo significa che l’aggressore era in fretta per lanciare le cose ed è probabilmente un criminale informatico e non un attore APT sponsorizzato dallo stato (a meno che non sia un piano di inganno ultra-sofisticato per fingere di non essere un attore APT). Se confrontiamo questo scoppio con campagne APT serie, i ponti Tor nascosti rendono l’infrastruttura molto più furtiva e più difficile da gestire, anche più costosa.

2) Il trasporto usato su tutti i nodi Tor non è offuscato e non utilizza i moderni Tor meek e Obfs4. Ciò significa che il traffico è relativamente facile da distinguere in un ambiente aziendale, non serve neanche un DPI per farlo.

3) Tutti gli IP segnalati sono stati confrontati con Detect Tor che ha oltre 18 mesi di cronologia di nodi Tor, trasporto e reputazione. Questo ci permette di scoprire le porte utilizzate dai nodi Tor e attribuirle, arricchendo così gli IOCs. Inoltre, puoi trovare nodi freschi (31 e 37), solo 2 su 39 questo significa che non c’era una nuova infrastruttura Tor speciale implementata per l’attacco: è stata usata la rete Tor esistente con domini C2 nascosti dietro il web .onion.

4) Nei C2 riportati 13 porte, ad es. il 33% sono 443 e 13 sono 9001 (porta Tor predefinita) e altre 3 sono porte 900X. Con reti opportunamente segmentate, le connessioni in uscita alla porta 9001 non passeranno da nessun segmento della maggior parte delle aziende. Nel set di dati arricchito stiamo trattando 59 porte, le porte 443 e 9001 costituiscono il 59% di tutte le porte. Vediamo anche 4 degli IP segnalati da Talos che non hanno porte, ma sono attivi al 13.05.17 e abbiamo scoperto le porte.

5) #28, 38 e 39 NON sono nodi Tor, tuttavia sono segnalati come Dannosi da VirusTotal e nessuna porta riportata di nuovo da Talos. Questi sono presumibilmente siti di distribuzione.

6) #62 è un falso positivo segnalato da Talos, poiché conduce a deb.torproject.org e altri sottodomini multipli di torproject che sono abbastanza benigni – ospitano il browser Tor che non li rende un C2 o un sito web dannoso.

Quindi cosa fare con le informazioni su C2? Puoi usarle come IOC codificato per le prossime 1-2 settimane ma la loro precisione diminuirà con il passare delle ore. Ciò che è più importante è che la rete C2 è completamente dietro Tor e creando liste di blocco in tempo reale sul perimetro aziendale e sui dispositivi endpoint possiamo prevenire tutto il traffico C2. Almeno per questa variante del worm ransomware wannacry? dato che le capacità di tunneling DNS non sono state riportate al momento di questa stesura.

IOCs basati su Host:

C’è una firma SIGMA creata dall’autore del progetto Florian Roth su github:github.comCitazione dal sito del progetto: “Sigma è un formato di firma generico e aperto che ti consente di descrivere eventi di log rilevanti in modo diretto. Il formato della regola è molto flessibile, facile da scrivere e applicabile a qualsiasi tipo di file di log. Lo scopo principale di questo progetto è fornire una forma strutturata con la quale i ricercatori o gli analisti possono descrivere i loro metodi di rilevamento una volta sviluppati e renderli condivisibili con altri.

Sigma è per i file di log ciò che Snort è per il traffico di rete e YARA è per i file.

I casi d’uso includono:

  • Descrivi il tuo metodo di rilevamento scoperto una volta in Sigma per renderlo condivisibile
  • Condividi la firma nell’appendice della tua analisi insieme agli hash dei file e ai server C2
  • Condividi la firma nelle comunità di threat intel – ad es. tramite MISP
  • Fornisci firme Sigma per comportamenti malevoli nella tua applicazione (messaggi di errore, violazioni di accesso, manipolazioni)
  • Integra un nuovo log nel tuo SIEM e controlla il repository Sigma per regole disponibili
  • Scrivi un convertitore di regole per il tuo strumento personalizzato di analisi dei log e processa automaticamente nuove regole Sigma
  • Fornisci un feed gratuito o commerciale per le firme Sigma”

Stiamo collaborando con il team Sigma per espandere le capacità a più tecnologie SIEM.

Puoi trovare altri IOCs di host sul sandbox di Payload Security qui:hybrid-analysis.comAltri IOCs di host sono in preparazione e saranno inclusi nell’articolo nelle prossime 24 ore.

Mitigazione, alias CryNoMore

  • Nessun accesso Tor in entrata o in uscita dalle sedi aziendali. Usa ACL sui FW / NGFW, gateway di sicurezza / proxy e DNS RPZ se hai DNS unix. Puoi ottenere il feed Tor da OSINT o dal nostro UCL, rivedi e registrati quimy.socprime.com/en/ucl/tor/, il caso d’uso è ora gratuito per sempre per tutte le organizzazioni aziendali e del settore pubblico. Questo bloccherebbe la maggior parte della consegna e delle comunicazioni C2.
  • Hai un sistema operativo MS obsoleto in esecuzione e non puoi applicare patch? Usa questo come una hotfix “dism /online /norestart /disable-feature /featurename:SMB1Protocol” o qualsiasi altro metodo preferito per disabilitare i servizi SMB. Fonte idea:
  • Applica la patch MS17-010 se non lo hai già fatto: technet.microsoft.com E applica le patch contro tutti gli exploit rivelati da Shadow Brokers il prima possibile. Hai bisogno di aiuto per valutare il rischio? Scansiona la rete con Qualys, Tenable o qualsiasi cosa che comprenda gli ID CVE. Elenco dei CVE può essere ottenuto qui: https://github.com/misterch0c/shadowbroker
  • Hai SMB sul perimetro? Allora probabilmente sei già cifrato 🙁 Usa Shodan per trovare le porte aperte sul tuo perimetro, è gratuito. Sebbene una mappatura e scansione delle porte continue sarebbe meglio, anche il buon vecchio NMAP può fare il lavoro.
  • Se verificherai ogni connessione alla porta 443 in uscita con VirtusTotal, molto probabilmente bloccherai >87% del traffico C2 in questo attacco. Pensaci.
  • Come regola empirica chiediti questo: perché permetti traffico in uscita verso la porta 9001 comunque? O in effetti verso qualsiasi porta eccetto 80 e 443.
  • Blocca tutte le richieste in uscita sulle porte 80 e 443 a indirizzi IP che non risolvono in domini. Puoi essere più creativo e limitare questo con una whitelist dei primi 1M di Alexa ed escludere sottoreti dsl/internet domestico/internet mobile. Se hai un gateway di sicurezza web avanzato, blocca l’accesso a non solo tutti gli URL dannosi ma anche a quelli non categorizzati.
  • Stai ancora aprendo allegati email sconosciuti su email che non ti aspettavi? Non farlo. Semplicemente non farlo.

p.s. Le ultime 48 ore sono state un inferno di “divertimento”: prima ho cercato nel mio laptop da cima a fondo il backdoor HP nei driver audio e non ne ho trovato nessuna. Poi si è improvvisamente scoperto che MS17-010 non si era installato correttamente sul mio computer.. Quindi eccoci qui, la transizione dalla vecchia scuola “Fidati ma verifica” al motto Cyber 2.0 di “Non fidarti mai e verifica sempre”. Non è mai stato così giusto, è ora di vivere secondo questo motto.

/Stai al sicuro. E testa i tuoi backup regolarmente.

Credits:

Florian Roth and Tom U. for sharing hosts IOCs, developing and supporting SIGMA initiative for SIEM rules

Aleks Bredikhin for waking up late night and starting the update on ArcSight use case.

If you read this far, here are the links to all mentioned goodies:

ArcSight rule package:at Use Case Library https://ucl.socprime.com/use-case-library/info/403/ e su Protect724: https://www.protect724.hpe.com/docs/DOC-15255Pacchetto Splunk nella Use Case Library https://ucl.socprime.com/use-case-library/info/405/Pacchetto QRadar nella Use Case Library https://ucl.socprime.com/use-case-library/info/404/Firma SIGMA che può essere convertita in Splunk, Elastic e LogPoint: https://github.com/Neo23x0/sigma/blob/master/rules/windows/sysmon/sysmon_malware_wannacrypt.ymlFirma SIGMA che può essere convertita in Splunk, Elastic e LogPoint:github.comRisultati del sandbox di sicurezza Payload con IOCs e indicatori di comportamento: hybrid-analysis.com

Vota/ Condividi/ Commenta/Invita a discutere

CSV: WannaCry_IOCs_fonti pubbliche e VTCSV: WannaCry_IOCs_confronto con il feed Tor

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati