Facebook Linkedin twitter YouTube

Uma análise do malware WannaCry

Publicado em Segurança, por Juniper em 26/05/2017


Alexandre Cézar, Subject Matter Expert Cloud and Security da Juniper Networks Por Alexandre Cézar* 

 Dia 12 de maio, o malware WannaCry tomou as manchetes mundiais quando infectou computadores, encriptou seus arquivos e se auto  replicou para outras máquinas afetando usuários, plataformas de serviços e até mesmo a continuidade de negócios de centenas de  empresas. Neste artigo, vamos analisar o WannaCry e demonstrar como as plataformas de segurança da Juniper podem ajudar  a  bloquear este tipo de ataque de forma pró-ativa.

 

 

 

1 - Introdução

Como sabemos, na última sexta-feira, 12 de Maio, o malware WannaCry tomou as manchetes mundiais. Este malware, capaz de infectar computadores, encriptar seus arquivos e se auto replicar para outros computadores, está efetivamente afetando usuários, plataformas de serviços e até mesmo a continuidade de negócios de centenas de empresas.

Neste artigo, vamos analisar o WannaCry e demonstrar como as plataformas de segurança da Juniper podem ajudar a bloquear este tipo de ataque de forma pró-ativa.

 

2 - WannaCry explicado

Especialistas em análise de malware da Juniper verificaram que os vetores mais utilizados para distribuição do WannaCry são emails e downloads de arquivos PDF (drive-by downloads). Nenhuma novidade neste sentido. A maioria dos malwares faz uso destes métodos de distribuição.

A novidade do WannaCry é a sua capacidade de propagação. À partir do momento que um computador é afetado, o malware consege se propagar lateralmente utilizando o protocolo SMBv1.

Para isto, o WannaCry explora a vulnerabilidade “SMBv1 Unauthenticated Remote-Code-Execution (RCE)”. Esta vulnerabilidade estava presente no arquivo que o grupo hacker “ShadowBrokers” apresentou em April deste ano.

Esta vulnerabilidade é conhecida também pelo codinome “EternalBlue” e já havia sido corrigida de forma preventiva pela Microsoft em Março, no boletim MS17-010.

Uma rápida visualização do código do EternalBlue nos permite identificar porque este malware é tão efetivo; ele não requer nenhuma interação do atacante, oferecendo assim, um mecanismo de distribuição extremamente efetivo, dentro de uma rede vulnerável.

A imagem abaixo, é uma amostra do código do EternalBlue, extraida do site https://www.exploit-db.com

Fig1. – Exploit Eternal Blue
Fig1. – Exploit Eternal Blue
Créditos ao autor do código, o analista de segurança “Juan Sacco”

 

Uma vez que o computador foi infectado, o malware é executado (algumas variantes oferecem a funcionalidade de auto-execução, onde o usuário é apresentado com uma tela de confirmação, enquanto outras versões aguardam a execução do malware manualmente) e o usuário tem seus arquivos encriptados. Por fim, um aplicativo é apresentado, contendo informações sobre como o usuário pode pagar um resgate em bitcoins para recuperar sues arquivos (ransom é “resgate” em inglês, e por isto o malware é chamado de ransomware).

As imagens abaixo apresentam um computador infectado com o WannaCry:
 

Arquivos encriptados com a extensão .WNCRY
Fig2. – Arquivos encriptados com a extensão .WNCRY

 

E o interface do malware, com as instruções para o pagamento do resgate:

 

Interface do malware, com instruções para pagamento do resgate
Fig3. – Interface do malware, com instruções para pagamento do resgate.

 

Para os interessados, iremos um pouco mais fundo na análiso do WannaCry logo abaixo.  Para os leitores que querem entender como a Juniper pode bloquear ataques similares, sugiro diretamente a leitura do tópico “Como as soluções de segurança da Juniper bloqueiam ataques como o WannaCry”

 

3 - WannaCry em detalhes

Agora, vamos descer um pouco mais fundo para entendermos sobre como WannaCry funciona (créditos a Craig Dods e ao time Juniper Sky ATP)

Abrindo o PE (Portable Executable), e analisando a seção de recursos, notamos imediatamente a existência da senha “WNcry@2017”. Esta senha é utilizada para abrir o arquivo .zip que está incluido dentro do executável do malware

Senha WNcry@2ol7, dentro do código do WannaCry
Fig4. – Senha WNcry@2ol7, dentro do código do WannaCry

 

De posse do arquivo .zip, e após abrí-lo encontramos os diversos arquivos de linguagem (o malware oferece instruções para pagamento em várias linguas)

Arquivo .zip com arquivos de instruções em várias linguas
Fig5. –Arquivo .zip com arquivos de instruções em várias linguas.

 

Um outro arquivo, “tasksche.exe” tem a função de localizar e se conectar como todos os drives lógicos conectados com o computador.

 
Código do executável Taskche.exe 
Fig6. – Código do executável Tasksche.exe

 

Quando o executável é ativado, o malware busca alcançar todos os computadores que estão na mesma rede via SMBv1 (TCP 445), usando o exploit “EternalBlue” e assim a infecção é explalhada (ver fig. 2 e 3).

 

4. Como as soluções de segurança da Juniper bloqueiam ataques como o WannaCry

Clientes das soluções de segurança Juniper Networks estão protegidos contra ameaças “Zero Day”, tais como o WannaCry de diferentes maneiras.

1. Clientes que possuem a solução SkyATP integrada em seus gateways de segurança SRX possuem proteção efetiva em múltiplos níveis.

 

  1. Comunição inicial do malware com a botnet Necurs (outbound) é bloqueada através do uso da funcionalidade Security-Intelligence, que é parte do SkyATP.

 

  1. Comunicação da botnet com o cliente (inbound) é bloqueada pelo Juniper Networks SRX Firewall.

 

  1. Caso o cliente esteja sendo alvo de um mecanismo de entrega novo ou construído especificamente para ele (capaz de enganar um Anti-Virus ou uma ferramenta de Sandbox) ou mesmo pela versão tradicional do malware, a funcão Anti-Malware do SkyATP irá identificar o WannaCry e suas variants usando suas técnicas avançadas, compostas por “signature-based detection”, “machine-learning driven static analysis”, e “deceptive dynamic analysis”. Até o momento, a Juniper já recebeu centenas de amostras únicas do WannaCry (variantes) e todas foram identificadas em no máximo 30 segundos.

 

  1. Ná prática, isto significa que mesmo que um cliente seja atacado com uma amostra novíssima e sofistica de um malware, que o Sky ATP irá indetificá-lo e bloqueá-lo.

Caso a análise tome mais tempo (até 15 minutos, dependendo da complexidade), o SkyATP irá propagar a informação sobre o malware para o SRX que está implementado dentro da rede do cliente, que irá então colocar o computador em quarenta.

 

Malware WannaCry identificado pelo Sky ATP
Fig 7 – Malware WannaCry identificado pelo Sky ATP

Resultado da análise comportamental do WannaCry pelo Sky ATP
Fig. 8 – Resultado da análise comportamental do WannaCry pelo Sky ATP

 

2. Caso o cliente possua a solução “Sotware Defined Secure Networks” da Juniper, o Policy Enforcer irá orquestrar a aplicação de políticas de segurança, utilizando os recursos disponíveis de rede e endpoints (tais como switches, roteadores, firewalls, controladores wireless, anti-virus, personal firewalls, etc) para conter o malware e minizar o dano. dentro ou fora do ambiente de rede.

 

3. Clientes que possuem a solução Secure Analytics solution (JSA) também possuem a capacidade de se defender contra ataques de ransomware. 

  • No caso específico do WannaCry, o JSA irá gerar multiplos eventos e ofensas baseado em anomalias de rede (peer-to-peer SMB e manipulação de arquivos).

 

Alerta de detecção de Ramsomware na rede
Fig. 9 – Alerta de detecção de Ransomware na rede

 


Fig. 10 – Informação adicional sobre a deteção de anomalia de rede causada por um ransomware

 

É possível verificar que o alerta foi gerado devido a um comportamente de ransomware identificado na rede. Este alerta é gerado quando um endpoint começa a escrever grandes quantidades de arquivos (neste caso, encriptar os arquivos do sistema do arquivos) e o JSA é capaz de identificar este comportamento e interagir com outras soluções através do uso de APIs para bloquear o computador infectado, incluindo aí, a solução “Software-Defined Secure Networks” (SDSN), isolando o computado infectado do restante da rede em segundos.

 

4. Para clientes Juniper SRX que possuem a funcionalidade de IPS configurado, o exploit que explora a vulnerabilidade MS17-010 é bloqueado.

Verifique se o IPS está configurado com as seguintes assinaturas.
 

SMB:CVE-2017-0145-RCE MB: Microsoft Windows CVE-2017-0145 Remote Code Execution
SMB:CVE-2017-0146-OOB SMB: Microsoft Windows SMB Server CVE-2017-0146 Out Of Bounds Write
SMB:CVE-2017-0147-ID SMB: Microsoft Windows SMB Server CVE-2017-0147 Information Disclosure
SMB:CVE-2017-0148-RCE SMB: Microsoft Windows CVE-2017-0148 Remote Code Execution
SMB:ERROR:MAL-MSG SMB: Malformed Message

 

Neste cenário, tráfego que atravessa o firewall será bloqueado, limitando o impacto a sub-redes que se comunicam sem a inspeção de um firewall.  
 

5. Para clientes Juniper SRX que possuem a funcionalidade UTM configurada, é possível evitar o download do malware através das funcionalidades de URL Filtering. Anti-Virus e Content-Filtering que, quando combinadas oferecem uma proteção efetiva em várias situações.

A combinação das tecnologias acima, oferece proteção pró-ativa contra ataques “Zero Day” e minização de impacto com aplicação de políticas de segurança “on premise e out premise”.

 

5 - Conclusão

 

Enquanto o WannaCry apresentou uma nova (e triste) realidade para muitos clientes, não houve nada novo na maneira como o WannaCry foi criado.

Ele é um malware que explora uma vulnerabilidade conhecida para infectar outros computadores e se disseminar.

 

Desta forma, as mesmas contra-medidas de segurança são recomendadas:

  • Possua um plano de implementação de atualizações (patches), uma laboratório para realizar os testes de homologação e uma ferramenta que permita automatizar este processo de instalação;
     
  •  É importante implementar uma ferramenta de análise de vulnerabilidades (a Juniper possui o JSA Vulnerability Manager) que permita identificar vulnerabilidades em sistemas e computadores e garantir a efetividade da aplicação dos patches
     
  • É crítico possuir uma solução de detecção e bloqueio de ataques avançados e de dia zero, como o Sky ATP, que é um módulo dos gateways de segurança de nova geração da Juniper, o SRX
     
  • Visibilidade de rede e das ameaças em tempo real é crítico para que equipes de segurança possam responder de forma adequada a incidentes de segurança. Juniper Security Director e Secure Analytics são ferramentas integrais de qualquer empresa que busque obter tais resultados.

 

A nova realidade, onde usuários e aplicações estão fora do perímetro tradicional de redes (mobilidade, nuvem), demanda uma solução que permita automatizar e orquestrar a aplicação de políticas de segurança, dentro e fora do perímetro de rede. Software Defined Secure Networks é o maior exemplo desta nova maneira de enxergar a segurança.

 

BÔNUS: Assista ao vídeo que demonstra como o Sky ATP da Juniper evita a infecção e a proliferação do Wannacry Ransomware: Clique aqui.

 

* Alexandre Cézar é Subject Matter Expert Cloud and Security da Juniper Networks.


Posts Relacionados


Deixe seu comentário:

=