WannaCry
https://fs0cl3ty.ru/Сегодня хотелось бы затронуть атаку шифровальщика, которая поразила множество ЭВМ по всему миру. Это самая масштабная атака виндовс-локеров за всю историю и при этом не менее интересно вникнуть и разобрать его.
Начиная с прошлой пятницы компьютеры по всему миру подверглись глобальной кибератаке шифровальщика WannaCry, что вызвало небывалый хаос. В результате атаки было заражено более 300 тысяч компьютеров. Были зашифрованы данные множества компаний, правительственных, образовательных и медицинских учреждений, а также файлы обычных пользователей из более чем 100 стран мира.
12 мая началась атака с использованием уязвимости ETERNALBLUE, которой подвержены системы Windows начиная от XP.
ETERNALBLUE - название эксплойта, эксплуатирующего компьютерную уязвимость в Windows-реализации протокола SMB, которая была разработана Агентством национальной безопасности США. Данные по ней были слиты группой The Shadow Brokers в этом году. Было слито огромное количество уязвимостей, которое использовало США для нелегального доступа.
Интересная особенность данной уязвимости в том что здесь не требуется "помощь" жертвы для заражения. Не требуется открывать какой-либо файл и запускать что-то.
WannaCry сканирует как внутренние, так и внешние сети пострадавших компаний, подключаясь к порту 445 (SMB) и осуществляя поиск компьютеров, на которых не установлен указанный выше патч, с целью их заражения (подобно компьютерному червю). Для этого он использует вариант бэкдора DOUBLEPULSAR.
Можно разделить такие этапы заражения:
1. Поиск устройств с открытым портом 445, с помощью которого и возможно заражение
2. Происходит заражение
3. Происходит поиск других устройств находящихся в той же сети с открытым портом 445
4. Дублирование себя на них
5. Шифрование файлов и папок с помощью AES, которые могут быть расшифрованы только зная RSA ключ
6. Убивает процессы с открытыми базами данных, что гарантирует их шифрование
7. Запрещает загрузку системы в режиме восстановления
8. Получает доступ к системным скрытым файлам с копиями и удаляет их, чтобы не дать пользователю восстановить систему
В первой версии вируса присутствовало правило при котором каждый раз проверялось есть ли успешный ответ от домена [http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea...]
Когда аналитик по безопасности обнаружил это в коде вируса, то зарегистрировал домен и заражение на некоторое время прекратилось.
Но спустя время выпущена была новая ревизия вируса, где уже не было проверки на данный домен.
За разблокировку требуют 300$, а иначе через 7 дней теряется возможность разблокировки.
На данный момент хакерами получено уже более 65 тысяч долларов.
Microsoft выпустила обновление для всего семейства Windows, даже для тех чью поддержку она давно прекратила. Обновляйтесь.