14.5.17

WanaCrypt: je li ovo tek prvo poluvrijeme?

Ovaj tekst pišem u nedjelju poslijepodne, dva dana nakon globalne pojave jednog od najagresivnijih malicioznih programa u posljednih godinu/dvije. Premijera je bila u petak, pa epidemija malicioznog programa WanaCrypt nije još stigla zahvatiti većinu naših tvrtki i organizacija. Erupcija bi se mogla očekivati sutra, kada se u jutarnjim satima budu uključila računala. Ipak, vikend je, izgleda, imao spasonosno djelovanje, zahvaljujući zagonetnoj funkciji koja je pronađena u kodu malicioznog programa WanaCrypt.

Naime, timovi koji su analizirali tijek instrukcija ovog programa utvrdili su da ovaj program iz nekog, za sada nepotvrđenog, razloga pokušava dohvatiti URL fabriciranog sadržaja iza kojeg ne stoji realni poslužitelj. Postoji nekoliko objašnjenja za ovakvo ponašanje - o njima pišem u nastavku, no za slijed događaja je važno reći da je ovo svojstvo iskorišteno za obuzdavanje djelovanja programa WanaCrypt. Naime, ukoliko se pokaže da program ne može dohvatiti fabriciranu domenu onda nastavlja posao do kraja i preuzima zaraženo računalo. Ukoliko bi, kojim slučajem, pokušaj dohvata fabricirane domene bio uspješan onda program prekida akciju. Znači, ako bi dakle fabricirana domena zaista postojala - što inače nije intencija autora, onda bi to obustavilo djelovanje programa WanaCrypt. To je i napravljeno - tvrtka MalwareTech je registrirala domenu prilično kriptičnog naziva i invazija je obustavljena. Barem za sada.

Ostaje pitanje kako to da program WanaCrypt koristi ovu naizgled naivnu funkciju koja značajno ograničava njegovo djelovanje? Zasigurno se ne radi se o propustu no motivi su, izgleda, dvojaki. Prema jednoj teoriji, napadači se poigravaju s nama te su nam ostavili dostupan "kill switch" koji će nas zaštiti ali kojima će nam dati do znanja da oni drže stvar pod kontrolom. Prema drugoj teoriji, ovakva reakcija je rezultat kontrole u programskom kodu koja ima funkciju prepoznavanja okruženja forenzičke analiza malicioznih programa. Ova kontrola nije nova, pojavljivala se i u nekim drugim slučajevima.

No bilo kako bilo, za očekivati je pojavu podvarijanti malicioznog programa WanaCrypt koje će isključiti ovakvu kontrolu ili koji će URL ime generirati primjenom generatora slučajnih vrijednosti. U svakom slučaju, nemojte se zavarati trenutnim zatišjem. Primijenite popravke koji su opisani u MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx), ali i inače održite ažurnu razinu patcheva operativnog sustava. Razmotrite i ukidanje protokola SMBv1, uglavnom nije neophodan (pogledajte https://support.microsoft.com/en-us/help/2696547).

Korisnici sustava QualysGuard mogu provjeriti zdravlje sustava modulom ThreatPROTECT ili provjerom prisutnosti ranjivosti QID 91345, QID 1029, QID 91360 i QID 70077. Napominjemo da se provjere ranjivosti QID 91345, 1029 i 91360 mogu provesti samo autenticiranim skenom ili korištenjem QualysGuard agenata. QID 70077 omogućuje detekciju "backdoor" programa DOUBLEPULSAR koja se koristi u scenariju WanaCrypt a koji nam takođe dolazi u istoj pošiljci iz NSA.

Kada se stvari oko ovog napada budu slegle onda će biti vremena za neke konačne zaključke, no dobro su mi je poznata raširena percepcija da nije nužno pre-ažurno primjenjivati programske popravke jer naše tvrtke "nisu zanimljive napadačima", naročito ne onima koji koriste napade iz NSA aresenala. Ovaj slučaj je možda trenutak otrežnjenja. Naročito ako ponedjeljak bude jače "stormy" nego obično.

1 komentar:

  1. Harrah's Cherokee Casino & Hotel - Mapyro
    › harrahs-cherokee-casino-and › harrahs-cherokee-casino-and Explore the Harrah's Cherokee 남양주 출장안마 Casino & 하남 출장안마 Hotel in Cherokee, NC, United States 양산 출장샵 - Find reviews and discounts 시흥 출장안마 for AAA/AARP 광주 출장샵 members, seniors,

    OdgovoriIzbriši