Мой кабинет

Прощай, WannaCry: IOC’s червя-шифровальщика, Tor C2 и технический анализ + правила для SIEM


1 561
Май 15, 2017

Отличные новости!

После почти суток изучения новостей, исследования и охоты на червя-шифровальщика WannaCry мы хотим поделиться с вами нашими находками. Это индикаторы компрометации (IOC’s) хостов и сетей, их анализ, проведенный при участии других исследователей и практиков в области безопасности, обзор инфраструктуры Удаленного управления (C2) и ее взаимодействия с Tor. И в конце концов – несколько бесплатных сценариев ИБ для SIEM, которые могут немедленно помочь вам обнаружить и начать блокировать вышеупомянутую напасть, предотвращая эскалацию.

Также в статье есть краткий обзор сигнатур SIGMA, которые я недавно обнаружил (YARA для SIEM). Предупреждение: цель этой публикации – предоставить IOC’s и руководство, как в кратчайшие сроки обнаружить и блокировать червя-шифровальщика WannaCry с помощью SIEM, OSINT, брандмауэров, прокси / шлюзов безопасности. Это не реверсивный анализ вируса и не статья для СМИ, это – результат многочасового труда многих людей (большое спасибо вам за помощь!).

Макроанализ WannaCry

Если вы пропустили информационный взрыв о вспышке вируса #WannaCry / #WannaCrypt, червя-шифровальщика, которая поразила мир в пятницу, 12 мая 2017 года, прочитайте две отличных статьи:

forbes.comblog.qualys.com.

Из 40 прочитанных мною статей, эти – наиболее полно и в доступной форме рассказывают о происходящем. Также изучите карту атаки от MalwareTech, которая взяла под контроль один из доменов вредоносного ПО.

Почему не Cisco Talos? Можете прочитать http://blog.talosintelligence.com/2017/05/wannacry.html, но там статья длинная и по технической части возникают вопросы (дальше я расскажу какие). И если вы читаете это, значит, мы вместе разбираемся в технической части этого инцидента и работаем над предотвращением его и подобных атак в будущем.

Завершим макроанализ цитатой от одного из коллег по безопасности:

«Да, конечно, но хочу еще добавить, что утечка инструментов взлома ЦРУ / АНБ уже произошла, и я уверен, что это случится снова… Компании должны проактивно подойти к вопросу собственной безопасности: запросить CMDB, найти все неподдерживаемые системы и оперативно обновить их, затем дополнительно защитить их, отключив все второстепенные службы Windows. После чего запросить тест на проникновение у третьей стороны для наиболее важных систем. Если компания решит «принять риск» (чтобы избежать затрат), что ж, этот риск им полностью разъяснен».

Теперь перейдем к более интересной части!

Индикаторы компрометации (IOC’s) сети и их полезность

Изучая OSINT, мы смогли откопать 39 IP-адресов, иногда с портами, протоколами и комментариями. Мы получили их от McAfee, Cisco Talos и образцов из «песочницы» Payload Security. Понятно, что IP сам по себе не является хорошим #threatintel, так что давайте проанализируем, что мы видим и как это может помочь нам обнаружить и остановить WannaCry / WannaCrypt или что-нибудь иное, что пытается навредить нашей собственности. Каждый IP-адрес пинговался, анализировался VirusTotal и фидом SOCPrime DetectTor. Последний является коллекцией данных о сетевой активности Tor за 1,5 года, которая собирается в режиме реального времени. Изначальная таблица для справки.

IPPortProtoSourceGeoASNOrganizationTor typeVT Status
104.131.84.119443McAfeeUS393406Digital OceanExit NodeClean
128.31.0.399101TCPPayoad SecurityUS3MITExit NodeMalicious
128.31.0.39Cisco TalosYesMalicious
136.243.176.148443TCPPayoad SecurityDE24940Hetzner Online AGExit NodeMalicious
146.0.32.1449001Cisco TalosDE24961myLoc managed IT AGExit NodeMalicious
163.172.153.129001TCPPayoad SecurityGBONLINE SASYesMalicious
163.172.185.132443TCPPayoad SecurityGBONLINE SASYesMalicious
163.172.25.11822McAfeeGBYesMalicious
163.172.35.247443TCPPayoad SecurityFRONLINE SASExit, GuardMaybe clean
171.25.193.980TCPPayoad SecuritySE198093Foreningen for digitala fri- och rattigheterExit nodeMalicious
178.254.44.1359001McAfeeDE42730EVANZO e-commerceGmbHExit NodeMalicious
178.62.173.2039001TCPPayoad SecurityNL200130Digital OceanExit NodeMalicious
185.97.32.189001TCPPayoad SecuritySE44581AllTele Allmanna Svenska TelefonaktiebolagetExit NodeMalicious
188.138.33.220Cisco TalosDE8972intergenia AGMalicious
188.166.23.127443Cisco TalosNL202018Digital OceanExit NodeMalicious
192.42.115.1029004McAfeeNL1103SURFnetExit NodeMalicious
193.23.244.244443Cisco TalosDE50472Chaos Computer Club e.V.Exit NodeMalicious
198.199.64.217443McAfeeUS46652ServerStackExit NodeMalicious
2.3.69.2099001Cisco TalosFR3215OrangeExit NodeClean
212.47.232.237Cisco TalosFR12876Tiscali FranceExit NodeMalicious
213.239.216.222443McAfeeDE24940Hetzner Online AGExit NodeMalicious
213.61.66.1169003TCPPayoad SecurityDE8220COLT Technology Services Group LimitedExit NodeMalicious
213.61.66.116Cisco TalosDE8220COLT Technology Services Group LimitedExit NodeMalicious
217.172.190.251443TCPPayoad SecurityDE8972intergenia AGExit NodeClean
217.79.179.77Cisco TalosDE24961myLoc managed IT AGClean
38.229.72.16Cisco TalosUS23028Team CymruMalicious
50.7.151.47443TCPPayoad SecurityUS174FDCservers.netExit NodeMalicious
50.7.161.2189001Cisco TalosNL174FDCservers.netExit NodeMalicious
51.255.41.659001McAfeeFR16276OVH SASExit NodeMalicious
62.138.10.609001McAfeeDE61157Heg masExit NodeMalicious
62.138.7.2319001TCPPayoad SecurityDE61157Heg masExit NodeMalicious
79.172.193.32Cisco TalosHU29278Deninet KFTExit NodeMalicious
81.30.158.223Cisco TalosDE24961myLoc managed IT AG Vserver NetzExit NodeMalicious
82.94.251.227443McAfeeNL3265XS4ALL Internet BVExit NodeMalicious
83.162.202.1829001TCPPayoad SecurityNL3265XS4ALL Internet BVExit NodeMalicious
83.169.6.129001McAfeeDE20773Host Europe GmbHExit NodeMalicious
86.59.21.38443McAfeeAT3248Tele2 Telecommunication GmbHExit NodeMalicious
89.45.235.21Cisco TalosSE1653SUNET/NORDUnetYesMalicious
94.23.173.93443TCPPayoad SecurityFR16276OVH.CZ s.r.o.Exit NodeMalicious

Итак, что мы видим? 36 из 39 IP-адресов, или 92% адресов C2, – это узлы Tor! 34 IP-адреса были помечены VirusTotal как вредоносные от нескольких дней до 1,5 месяцев назад, а это 87%. Но почему мы не видим почти никаких портов? Давайте проанализируем дальше. Нет времени рисовать красивую картинку (к тому же мои навыки рисования оставляют желать лучшего), поэтому я поделюсь 2 картинками другой таблицы .XLS:

Что значат эти таблицы и цвета? Смотрите:

1) Существует только 1 скрытый мост Tor (оранжевый). Это означает, что злоумышленник спешил с запуском вируса, и он, скорее всего, кибер-преступник, а не спонсируемый государством организатор APT-атаки (если только это не ультрасовременный план обмана: притворяться, что вы не организатор APT-атаки). Если сравнить эту вспышку с серьезными APT-кампаниями, скрытые мосты Tor делают инфраструктуру более замаскированной, справиться с ней значительно сложнее, но также она становится более дорогостоящей для атакующего.

2) Транспорт, используемый на всех узлах Tor, не обфусцирован и не использует современные Tor meek и Obfs4. Это значит, что трафик относительно легко отличить в корпоративной среде, вам для этого даже не нужен DPI.

3) Все найденные IP анализировались с помощью Detect Tor, в котором содержится информация об узлах Tor, транспорте и репутации более чем за 18 месяцев. Это позволило нам обнаружить порты, используемые узлами Tor, и добавить их, тем самым обогащая IOC’s. Также в списке есть свежие узлы (#31 и #37), всего 2 из 39, это значит, что для атаки не создавалась новая специальная инфраструктура Tor – использовалась существующая сеть Tor с доменами C2, скрытыми в .onion сети.

4) В найденных IOC’s 13 портов C2 (33%) – 443, 13 – 9001 (порт Tor по умолчанию) и еще 3 порта 900X. В правильно сегментированных сетях у большинства предприятий исходящие соединения по порту 9001 не будут проходить через сегменты. В обогащенных данных мы встречаем 59 портов, и порты 443 и 9001 составляют из них 59%. Мы также видим, что 4 IP, о которых сообщил Talos, идут без портов, однако они активны с 13.05.17, и мы смогли обнаружить для них порты.

5) #28, #38 и #39 не являются узлами Tor, однако VirusTotal пометил их как вредоносные, и Talos вновь не информирует о портах. Вероятно, это сайты для распространения.

6) #62 – ложноположительный IP от Talos, так как он ведет к deb.torproject.org и другим множественным субдоменам torproject, которые достаточно безвредны – они хостят браузер Tor, но это не делает их C2 или вредоносными сайтами.

Так что же делать с информацией о C2? Вы можете использовать ее в качестве IOC’s в течение следующих 1-2 недель, но ее точность будет ухудшаться каждый час. Что более важно, сеть C2 полностью скрывается в Tor и, создавая «черные списки» на корпоративном периметре и конечных устройствах, мы можем вообще перекрыть трафик C2. По крайней мере, для этих версий червя-шифровальщика wannacry, поскольку о возможности DNS-туннелирования на момент написания не сообщалось.

Индикаторы компрометации хостов:

На github выложена сигнатура SIGMA, созданная автором проекта Флорианом Ротом: github.com

Цитата с сайта проекта: «Sigma — это общий открытый формат сигнатур, который позволяет вам непосредственно описывать релевантные события журналов. Формат правила очень гибкий, легок для написания и применим к любому типу журналов. Основная цель этого проекта – предоставить исследователям и аналитикам структурированную форму, в которой они смогут описать свои разработанные методы обнаружения и поделиться ими.

Sigma для журналов – это как Snort для сетевого трафика, а YARA — для файлов.

Чтобы создать кейс:

  • Опишите свой метод обнаружения в Sigma, чтобы им можно было поделиться
  • Поделитесь сигнатурой в приложении к вашему результату исследования вместе с файлами хэшей и серверами C2
  • Поделитесь сигнатурой в сообществах threat intel, например в MISP
  • Предоставьте сигнатуры Sigma о злонамеренном поведении в вашем собственном приложении (сообщения об ошибках, нарушения доступа, манипуляции)
  • Интегрируйте новый журнал в ваш SIEM и проверьте репозиторий Sigma на наличие доступных правил
  • Напишите конвертер правил для своего инструмента анализа журналов и автоматически отработайте новые правила Sigma
  • Предоставьте бесплатный или коммерческий фид для сигнатур Sigma»

Мы работаем вместе с командой Sigma, чтобы как можно большее количество технологий SIEM смогли воспользоваться нашими исследованиями.

Вы можете найти больше IOC’s хостов в песочнице Payload Security: hybrid-analysis.com

В настоящее время мы готовим дополнительные IOC’s хостов и добавим их в статью в ближайшие 24 часа.

Противодействие WannaCry или, иными словами, CryNoMore

  • Никакого входящего или исходящего доступа к Tor из корпоративной сети. Используйте ACL на FW / NGFW, шлюзах безопасности / прокси и DNS RPZ, если у вас unix DNS. Вы можете получить фид Tor из OSINT или из нашей UCL, можете посмотреть и зарегистрировать здесь: https://my.socprime.com/en/ucl/tor/, этот кейс теперь бесплатный для всех компаний и государственных организаций. Это заблокирует большую часть Delivery и коммуникаций C2.
  • У вас используется устаревшая MS OS, которую нельзя обновить? Воспользуйтесь таким «исправлением»: «dism / online / norestart / disable-feature / featurename: SMB1Protocol» или любым другим методом отключения служб SMB. Исходная идея:
  • Установите патч MS17-010, если вы еще не сделали этого: technet.microsoft.com И установите как можно скорее патчи на все эксплойты, обнаруженные Shadow Brokers. Нужна помощь с оценкой риска? Просканируйте сеть с помощью Qualys, Tenable или всего, что понимает идентификаторы CVE. Список CVE можно получить здесь: https://github.com/misterch0c/shadowbroker
  • У вас SMB на периметре? Тогда вы, вероятно, уже инфицированы шифровальщиком 🙁 Используйте Shodan, чтобы бесплатно найти открытые порты на периметре. Хотя непрерывное мапирование портов и сканирование дадут лучший результат, даже старый добрый NMAP может сделать это.
  • Если вы будете проверять каждое исходящее соединение по порту 443 VirtusTotal’ом, вы, скорее всего, заблокируете > 87% трафика C2 в такой атаке. Подумайте об этом.
  • Постоянно спрашивайте себя: почему вы разрешаете исходящий трафик по порту 9001? Или вообще по любому порту, кроме 80 и 443?
  • Блокируйте все исходящие запросы по портам 80 и 443 на IP-адреса, которые не резолвятся как домен. Можете подойти к этому более творчески и использовать «белый список» Alexa top 1M и исключить dsl / домашний интернет / мобильные интернет-подсети. Если у вас есть продвинутый Security Web Gateway, заблокируйте доступ не только ко всем вредоносным, но и к неклассифицированным URL-адресам.
  • Все еще открываете неизвестные вложения электронной почты в сообщениях, которые вы не ожидали? Не делайте этого. Просто не надо.

PS

Последние 48 часов были до ужаса «веселыми»: сначала я перерыл весь ноутбук в поиске бэкдора от HP в аудиодрайверах и не нашел ни одного. Затем неожиданно выяснилось, что MS17-010 неправильно установлен на моей машине. Так что пора переходить от старой поговорки «Доверяй, но проверяй» к девизу Cyber ​​2.0: «Никогда не доверяй и всегда проверяй». Никогда прежде он не был столь жизненным.

/Будьте осторожны. И регулярно проверяйте свои резервные копии.

Благодарности:

Флориан Роту и Тому У. за то, что поделились IOC’s хостов, за разработку и поддержку SIGMA для правил SIEM

Алексу Бредихину за то, что проснулся среди ночи и начал обновлять кейс для ArcSight

Если вы дочитали до этого места — ловите ссылки на все упомянутые в статье «плюшки»:

Пакет правил для ArcSight в Use Case Library  https://ucl.socprime.com/use-case-library/info/403/ и на Protect724: https://www.protect724.hpe.com/docs/DOC-15255

Пакет правил для Splunk в Use Case Library https://ucl.socprime.com/use-case-library/info/405/

Пакет правил для QRadar в Use Case Library https://ucl.socprime.com/use-case-library/info/404/

Сигнатуры SIGMA, которые можно преобразовать для Splunk, Elastic и LogPoint: github.com

Данные из «песочницы» Playload Security с IOC’s и индикаторами поведения: hybrid-analysis.com

CSV: WannaCry_IOCs_public sources and VT
CSV: WannaCry_IOCs_cross check with Tor feed

Related Posts