WCRY – BOLETIN DE SEGURIDAD

WannaCrypt, aka WanaCrypt aka Wcry, nasty

Actualización al : 15/05/2017

Durante el viernes 12 de Mayo de 2017 se reportan, de forma inusual por su cantidad y frecuencia, eventos de ataques de infecciones de ransomware a nivel mundial:

“Some 16 NHS organizations across Blighty – including several hospital trusts such as NHS Mid-Essex CCG and East and North Hertfordshire – have had their files scrambled by a variant of the WannaCrypt, aka WanaCrypt aka Wcry, aka nasty. Users are told to cough up $300 to restore their documents.”

Los reportes apuntan a una variante llamada Wannacry que aprovecha, entre otras la vulnerabilidad MS17-010 de Microsoft, en redes que aún no han aplicado este parche de seguridad.  A continuación algunas recomendaciones específicas de parte de nuestros fabricantes.

Información del parche de Microsoft que se debe aplicar en el siguiente enlace:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx


Fuente de esta información:
http://tecnologia.elpais.com/tecnologia/2017/05/12/actualidad/1494586960_025438.html
https://www.theregister.co.uk/2017/05/12/nhs_hospital_shut_down_due_to_cyber_attack/

 

 

Recomendaciones Generales contra este tipo de amenazas:

  • Revise el contenido completo de este documento, ya que los distintos fabricantes tienen información complementaria.
  • Revise en el sitio web de los fabricantes de los dispositivos de su infraestructura, ya que estarán actualizando y enriqueciendo información relacionada a este caso.
  • Mantener respaldo de la información crítica.
  • Mantener la infraestructura a último nivel de parches de seguridad.
  • Implementar y mantener una postura de mínimo privilegio.
  • Actualizar las firmas de IDS / IPS / EndPoint Protection.
  • Implementar listas blancas de ejecución en equipo crítico.

Virus total:

Virus total comparte la siguiente información:

  • SHA256: b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
  • File name:      @WanaDecryptor@.exe
  • Detection ratio:           30 / 61
  • Analysis date: 2017-05-12 19:05:41 UTC

 En este análisis la mayoría de soluciones de protección contra Malware lo catalogan como Malicioso.

Referencia de esta información en el siguiente enlace:
https://virustotal.com/cs/file/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25/analysis/

Recomendaciones de los diferentes fabricantes de seguridad

Tipping Point

Se deben activar los filtros 27928 y 2771.

Filtros adicionales deben incluir el 27929, 27433, 27937  y 27932.  No debe haber problemas de desempeño activando éstos tres filtros. Si se nota actividad de bloqueo de cualquiera de estos filtros, esto podría indicar que están bloqueando la actividad producida por el vector de ataque que representa su versión de Malware.  En su caso ese es el resultado esperado.  De esta forma podrá remover los sistemas afectados y removerlos de la red para su posterior limpieza.

Los siguientes filtros están seleccionados por Tipping Point para poder dar una mejor protección al usuario.

  • 27928: SMB: Microsoft Windows SMB Remote Code Execution Vulnerability (EternalBlue)
  • 27711: SMB: Microsoft Windows SMB Server SMBv1 Buffer Overflow Vulnerability
  • 27929: SMB: Microsoft Windows SMB Remote Code Execution Vulnerabilities (EternalChampion)
  • 27932: SMB: Microsoft Windows SMB Remote Code Execution Vulnerability (ErraticGopher)
  • 27433: SMB: Microsoft Windows SMB Server MID Type Confusion Vulnerability
  • 27937: SMB: Microsoft Windows SMB NT_TRANSACT_RENAME Information Disclosure Vulnerability (EternalSynergy)

Al aplicar estos filtros no se afecta al rendimiento del equipo. Al momento Tipping Point está trabajando en una búsqueda de más filtros para poder aplicar y estar más seguros de que no nos afecte este ransomware.  La opción para estos filtros es la de “Block and notify” esto con el fin de revisar los eventos generados por estos filtros y poder encontrar posibles equipos infectados.

Información actualizada de vacunas

 CVE Number  Filter(s)  Category  Comments
 CVE-2017-0143  27433  Exploit  SMB: Server MID Type Confusion Vulnerability
 CVE-2017-0144  27928  Vulnerabilities  SMB: Remote Code Execution Vulnerability (EternalBlue)
 CVE-2017-0145  27711  Exploit  SMB: Server SMBv1 Buffer Overflow Vulnerability
 CVE-2017-0146  27928, 27929  Vulnerabilities  SMB: Remote Code Execution Vulnerabilities (EternalChampion)
SMB: Remote Code Execution Vulnerability (EternalBlue)
 CVE-2017-0147  27929, 27937  Vulnerabilities  SMB: Remote Code Execution Vulnerability (EternalBlue)
SMB: NT_TRANSACT_RENAME Information Disclosure Vulnerability (EternalSynergy)
 2176  Security Policy  SMB: Null Session SetUp
 11403  Security Policy  SMB: Suspicious SMB Fragmentation
 27935  Exploit  SMB: DoublePulsar Backdoor
 5614  Exploit  SMB: Malicious SMB Probe/Attack
 30623  Virus  TLS: Suspicious SSL Certificate (DGA)
 Note: All filters mentioned above are currently found in the Digital Vaccine.

Lo primero y más importante, desde que los ataques aparentan explotar una vulnerabilidad conocida de Microsoft - los clientes deberían considerar deshabilitar el SMB en sus entornos de red si es posible - vía GPO o utilizando instrucciones proporcionadas por Microsoft. Adicionalmente, se recomienda enfáticamente a los clientes asegurar que tienen sus últimos parches aplicados a sus sistemas operativos. Especialmente los relacionados al MS17-010.

Recomendaciones por cada producto de Tipping Point

  • Updated Configuration and Next Generation Technology :
  • Asegurarse de tener estas características activas: Predictive Machine Learning (OfficeScan XG, Worry-Free Services) y toda la protección Ransomware https://success.trendmicro.com/solution/1112223
  • Smart Scan Agent Pattern y  Official Pattern Release: Trend Micro ha actualizado las variantes conocidas a todos los productos que utilizan estos patrones:
  • Smart Scan Agent Pattern – 13.399.00
  • Official Pattern Release (conventional) - 13.401.00
  • Trend Micro Web Reputation Services (WRS) ha actualizado su contenido de Command and Control (C&C) servers conocidos.
  • Trend Micro Deep Security and Vulnerability Protection (formerly the IDF plug-in for OfficeScan) ha añadido proteccion a varios tipos de sistemas operativos incluyendo los que han llegado a fin de soporte (XP, 2000, 2003) Específicamente se han liberado estas reglas como protección proactiva
  • IPS Rules 1008224, 1008228, 1008225, 1008227 – Incluye cobertura para MS17-010 y algunas protecciones especificas a Windows SMB con vulnerabilidades  de ejecución de código remoto

Trend Micro Deep Discovery Inspector

  • DDI Rule 2383: CVE-2017-0144 – Remote Code Execution – SMB (Request)
  • Trend Micro TippingPoint customers with the following filters have updated protection:
  • Filters 5614, 27433, 27711, 27935, 27928 – Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities and attacks
  • ThreatDV Filter 30623 - helps to mitigate outbound C2 communication
  • Policy Filter 11403 - provides additional protection against suspicious SMB fragmentation

 McAfee         

McAfee cuenta con un KB que muestra pasos específicos para aumentar la seguridad a través del ePO. Este link muestra mejoras pro activas para VirusScan Enterprise (VSE) y Endpoint Security (ENS) Access Protection Proactive Measures

  • Protecting against Ransom-WannaCry (May 2017)
  • Technical Articles ID:   KB89335
  • Last Modified:  5/12/2017

Referencia: https://kc.mcafee.com/corporate/index?page=content&id=KB89335

Watchguard

El 12  de Mayo de 2017 se detectó una amenaza extremadamente virulenta, una variable de este virus llamada WCry 2.0 (Otros nombres: WannaCry, WanaCrypt0r, y WannaCrypt) empezaron a infectar a muchas víctimas alrededor del mundo. En un espacio de horas, más de 75,000 víctimas fueron reportadas en más de 90 países, incluyendo hospitales en el Reino Unido y otros países.

En un  análisis inicial del ransomware, se notó que aparentemente se despliega por una vulnerabilidad identificada como MS17-010, una vulnerabilidad crítica en el sistema operativo de Microsoft Windows, la cual fue publicada como parte del leak de herramientas de la NSA  que ejecutó del grupo de Shadow Brokers. Se cree que el ransomware se entrega por primera vez vía correo electrónico.

Para los clientes de Watchguard, el Gateway Antivirus  (signature: Ransom_r.CFY) y el APT Blocker detectan y bloquean el payload del ransomware. La detección basada en SandBox continuará detectando y bloqueando variantes futuras. Adicionalmente el IPS puede detectar y bloquear la explotación de la vulnerabilidad MS17-010 (signatures: 1133635, 1133636, 1133637, 1133638).

Los administradores de IT deben instalar las últimas actualizaciones de seguridad de Windows para resolver la vulnerabilidad MS127-010. Adicionalmente, los clientes de Watchguard deben activar el Gateway Antivirus, APT Blocker y el IPS para detener el ransomware en su perímetro de red.

Para más información vea:

  • https://www.bleepingcomputer.com/news/security/wana-decrypt0r-ransomware-using-nsa-exploit-leaked-by-shadow-brokers-is-on-a-rampage/
  • https://blog.malwarebytes.com/cybercrime/2017/05/wanacrypt0r-ransomware-hits-it-big-just-before-the-weekend/
  • https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  • Enlace del Artículo:https://watchguard.force.com/customers/wgknowledgebase?type=KBSecurityIssues&SFDCID=kA62A0000000Ks7SAE&lang=en_US

    Recomendaciones generales de configuraciones de seguridad contra Ransomware.

    • Actualizar firmas de Gateway Antivirus
    • Actualizar firmas de Intrusion Prenvention.
    • Limitar todas las descargas de archivos.
    • Habilitar el modulo de APT Blocker

Palo Alto Networks

Recomendaciones específicas para esta amenaza:

Palo Alto Networks ha publicado un documento (que le compartimos a continuación) en donde explica cómo sus tecnologías pueden ayudar a mitigar esta amenaza

Vulnerability Protection para WannaCrypt0r:

(UPDATED: Palo Alto Networks Protections Against WanaCrypt0r Ransomware Attacks)

http://researchcenter.paloaltonetworks.com/2017/05/palo-alto-networks-protections-wanacrypt0r-attacks/

Se debe verificar que todas las políticas tengan el perfil de vulnerabilidades activado y que las severidades críticas estén habilitadas

Recomendaciones generales contra Ransomware:

  1. Creación de perfil para bloqueo de archivos que son usualmente incluidos en ataques de malware o que no tienen uso real de descargarse o subir. Comúnmente estos incluyen batch files, DLLs, Java Class Files, Help Files, Windows shortcuts(.lnk) y bitTorrent files como los archivos PE(.exe, .cpl,.dll,.ocs,.sys,.scr,.dvr,.efi,.fon and .pif files). Luego de esto se puede permitir download /upload de archivos ejecutables y archivos como .zip y .rar pero forzando al usuario a dar click en continue antes de transferir el archivo para darle una pausa.
    1. Este perfil es necesario ya que hay muchas maneras de entregar archivos maliciosos, como adjuntos o links en el email corporativo o por webmail, links o IMs en social media. Exploits Kits, a través de aplicaciones de file sharing como FTP, Google Drive o Dropbox, o incluso en USB. Colocando el perfil de File Blocking reducirá su área de ataque y preventa este tipo de ataques.
    2. Si no es posible bloquear archivos PE como se recomienda, verifique que todos los archivos desconocidos sean enviados a Wildfire para su analisis.
    3. Colocando la opción de continue alertará a sus usuarios si dieron click en un enlace que descarga un java applet o algún ejecutable con virus malicioso.

2. Coloque el perfil de Antivirus a todo el tráfico que esta siendo permitido para detectar y prevenir que virus y malware puedan ser transferidas sobre HTTP, SMTP, IMPAP, POP3, FTP y SMB.

3. URL FIltering coloque bloqueo de acceso a las URLs de categorias sospechosas como malware/Phishing/Unknow/Dynamic DNS/Proxy-avoidance/Questionable/Parked.

4. Vulnerability Protection: Crear una excepción para los siguientes IDs de amenaza, colocándolas todas en Deny para que bloque el tráfico que haga match en estas firmas. Antes de realizarlo se recomienda poner unos días en Alert con la finalidad de validar que no se bloquee tráfico legítimo.

Threat ID Description
38353 This signature indicates a malicious MSO file is detected
38590 This signature indicates a malicious MSO file is detected
38591 This signature indicates a malicious MSO file is detected
39002 This signature detects a .js .wsf or .hta file directly sent in an email
39003 This signature detects a .js .wsf or .hta file in a ZIP folder sent in an email

5. Anti-Spyware: Algunas variantes de ransomware se conectan por la infraestructura externa para recibir información para generar las encryption keys o para encriptar los archivos, por lo que es importante también configurar un perfil de anti-spyware con perfil estricto y este debe ser colocado en todas las reglas en donde el tráfico sea de egreso hacia internet.

Palo Alto es capaz de detectar Suspicious DNS Queries, PAN Antivirus y Wildfire tienen contenidas una lista de dominios para identificar tráfico potencialmente malicioso.

6. Wildfire: si lo tiene licenciado habilite y configure los envíos de archivos maliciosos a Wildfire para su evaluación. Esto permitirá a Palo Alto a identificar las nuevas variantes de malware.

7. SSL Decryption: Por buenas prácticas de implementación de firewalls es importante que realice SSL Decryption para que se realice inspección de todo lo anteriomente indicado, si el tráfico esta cifrado Palo Alto será incapaz de analizar toda la trama.

8. APP-ID: tanto como sea posible especifique aplicaciones en las políticas de seguridad. Considere bloquear las aplicaciones unknow-tcp y unknow-udp ojo crear aplicaciones customizadas para aplicaciones internas.

9. Actualización de firmas:

a. URL Filtering

b. Anti-virus configurar para que instale cada 24 horas

c. Wildfire configurar para que instale cada 15 minutos

d. Aplicaciones y amenazas configurar para que instale cada 7 días

Forcepoint:

Recomendaciones Generales contra Ransomware

  1. Instalar el parche de Microsoft: MS17-010
  2. Deshabilitar permisos de administrador porque algunas versiones del malware pueden desinstalar el parche de microsoft.
  3. Bloquear el protocolo SMBv1 y el puerto 445.
  4. Bloquear las siguientes IP en los equipos de seguridad informática (Proxys, Email Gateways, Cloud Security, Firewalls, etc).
188.166.23.127 128.31.0.39:9101
193.23.244.244 213.61.66.116:9003
2.3.69.209 212.47.232.237:9001
146.0.32.144 81.30.158.223:9001
50.7.161.218 79.172.193.32:443
192.42.113.102 163.172.149.155
83.169.6.12 167.114.35.28
158.69.92.127 176.9.39.218
86.59.21.38 192.42.113.102
62.138.7.171 193.11.114.43
51.255.203.235 199.254.238.52
51.15.36.164 89.40.71.149
217.79.179.177:9001

5. Utilizar como referencia para procesos con AV o herramientas en base a hases el siguiente patron:

4fef5e34143e646dbf9907c4374276f5

5bef35496fcbdbe841c82f4d1ab8b7c2

775a0631fb8229b2aa3d7621427085ad

7bf2b57f2a205768755c07f238fb32cc

7f7ccaa16fb15eb1c7399d422f8363e8

808182340fb1b0b0b301c998e855a7c8

8495400f199ac77853c53b5a3f278f3e

84c82835a5d21bbcf75a61706d8ab549

86721e64ffbd69aa6944b9672bcabb6d

8dd63adb68ef053e044a5a2f46e0d2cd

b0ad5902366f860f85b892867e5b1e87

d6114ba5f10ad67a4131ab72531f02da

db349b97c37d22f5ea1d1841e3c89eb4

e372d07207b4da75b3434584cd9f3450

f529f4556a5126bba499c26d67892240

84c82835a5d21bbcf75a61706d8ab549

ED01EBFBC9EB5BBEA545AF4D01BF5F10

71661840480439C6E5BABE8E080E41AA

 

 

Kaspersky

Acerca de software malicioso WannaCry.

Hemos analizado la información sobre las infecciones por el ransomware "WannaCry" que afectó el 12 de mayo a muchas compañías de todo el mundo. Según los resultados del análisis, el virus aprovecha la vulnerabilidad conocida Microsoft Security Bulletin MS17-010. Una vez infectado el sistema, se instala en el equipo un rootkit, mediante el que los cyber-delincuentes ejecutan un programa cryptor.

Todas las soluciones de Kaspersky Lab identifican este rootkit como MEM:Trojan.Win64.EquationDrug.gen. Los programas cryptors utilizados en el ataque se detectan, a su vez, como:

  • Trojan-Ransom.Win32.Scatter.uf.
  • Trojan-Ransom.Win32.Scatter.tr.
  • Trojan-Ransom.Win32.Fury.fr.
  • Trojan-Ransom.Win32.Gen.djd.
  • Trojan-Ransom.Win32.Wanna.b.
  • Trojan-Ransom.Win32.Wanna.c.
  • Trojan-Ransom.Win32.Wanna.d.
  • Trojan-Ransom.Win32.Wanna.f.
  • Trojan-Ransom.Win32.Zapchast.i.
  • Win64.EquationDrug.gen
  • PDM:Trojan.Win32.Generic (para detectar este virus debe estar activado el componente System Watcher).
  • Recomendamos que las compañías adopten las siguientes medidas para disminuir el riesgo de infección:
  • Instale el parche oficial de Microsoft que repara la vulnerabilidad que ha sido utilizada en el ataque.
  • Asegúrese de que las soluciones de protección están activadas en todos los nodos de la red.
  • Actualice las bases de datos de los productos de Kaspersky Lab usados en su empresa.

Nuestros especialistas analizan ejemplares del software malicioso para encontrar un modo de descifrar los datos.

¿Qué hacer en caso de infección?

Si usa una solución de Kaspersky Lab

Kaspersky Endpoint Security 8/10:

  1. Desconecte el equipo host infectado de la red corporativa.
  2. Instale el parche oficial de Microsoft:
  • Para los sistemas operativos soportados
  • Para los sistemas operativos obsoletos
  1. Compruebe si el componente System Watcher y todos sus módulos están activados.
  2. Asegúrese de que el componente Prevención de intrusiones está activado.
  3. Asegúrese de que el componente Antivirus de archivos está activado.
  4. Ejecute la tarea Análisis de áreas críticas para detectar una supuesta infección lo más pronto posible.
  5. Después de detectar MEM:Trojan.Win64.EquationDrug.gen, reinicie el equipo.
  6. Ejecute el análisis completo en busca de virus para eliminar software malicioso.
  7. Conecte el equipo host a la red.

Kaspersky Security 10 for Windows Servers:

  1. Desconecte el equipo host infectado de la red corporativa.
  2. Instale el parche oficial de Microsoft:
  • Para los sistemas operativos soportados
  • Para los sistemas operativos obsoletos
  1. Asegúrese de que el componente Real-time file protection está activado.
  2. Configure el producto de acuerdo con las recomendaciones de este artículo. Estas recomendaciones le permitirán proteger el servidor contra el cifrado remoto desde los equipos host que tienen el acceso al servidor.
  3. Ejecute la tarea Análisis de áreas críticas para detectar una supuesta infección lo más pronto posible.
  4. Después de detectar MEM:Trojan.Win64.EquationDrug.gen, reinicie el equipo.
  5. Ejecute el análisis completo en busca de software malicioso y elimínelo.
  6. Conecte el equipo host a la red.

Kaspersky Anti-Virus 8.0 for Windows Servers Enterprise Edition

  1. Desconecte el equipo host infectado de la red corporativa.
  2. Instale el parche oficial de Microsoft:
  • Para los sistemas operativos soportados
  • Para los sistemas operativos obsoletos
  1. Asegúrese de que el componente Real-time file protection está activado.
  2. Ejecute la tarea Análisis de áreas críticas para detectar una supuesta infección lo más pronto posible.
  3. Después de detectar MEM:Trojan.Win64.EquationDrug.gen, reinicie el equipo.
  4. Ejecute el análisis completo en busca de software malicioso y elimínelo.
  5. Conecte el equipo host a la red.

Cisco

Investigación Realizada por Cisco Systems contra WCry

  • Bloquear los siguientes “Email Subjects”:
    • Copy_String of Digits
    • Document_String of Digits
    • Scan_String of Digits
    • PDF_String of Digits
    • File_String of Digits
    • Scanned Image
  • Bloquear los siguientes attachments:
    • pdf
    • String of Digits.pdf (Example: 20170511042179.pdf)

Attachment Hashes:

Doc Hashes:

Binary Hashes:

  • 03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47
  • C2 Server IPs:
  • 165.22[.]125
  • 254.44[.]204

Dominios de distribución:

Cisco Ransomware Defense

 VERIZON

Verizon ha emitido el siguiente informe:

Quick notes: WCry ransomware hitting UK and ES hard.

Telecom and Financial Services victims.

Ransomware itself is at least a month old.

Speculation/conjecture on infection vector:

  • PDF with embedded DOC* or DOC*
  • The DOCs will have JavaScript, JScript or VBA to pull down malware.

New risk: 

It probably has code from ETERNALBLUE Equation Group leak used to spread over SMB to systems without MS17-010 (March) patch.  Networks with XP and Server 2003 especially at risk.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

Internal instrumentation: 

Reportedly trips:  ET rule 2024218 "ET EXPLOIT Possible EXTERNALBLUE MS17-010 Echo Response"

Noteworthy victims, mostly unconfirmed:  Capgemini, Santander, Telefónica, Vodafone, Iberdrola, UK-NHS (confirmed), KPMG (ES),

 

WannaCryptor Ransomware Strikes NHS Hospitals, Telefonica, and Others

Within a matter of hours, an updated version of WannaCryptor ransomware struck hospitals belonging to the National Health Service (NHS), Telefonica, and several other high-profile targets. News of the attacks first broke on the morning

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

WannaCry Indicators (AlienVault)

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

NHS hit by ransomware attack, hospitals across country shutting down

GP told of 'National hack of the computer health care system' Updated Multiple NHS hospitals have shut down systems and are telling patients not to come in due to what is being described as a nationwide ransomware attack.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

Ransomware infections reported worldwide

A series of ransomware infections have been reported at organisations in a number of countries around the world.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

NHS cyber-attack: GPs and hospitals hit by ransomware

A major incident is declared at hospitals after NHS services in England and Scotland hit, amid reports of organisations worldwide being hit by IT attacks.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

Scots NHS services hit by ransomware cyber-attack

At least six health boards are struck by the ransomware attacks which have affected services in England.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

NHS hit by massive ransomware attack, many hospitals and clinics offline

(credit: Health Service Journal) A large number of hospitals, GPs, and walk-in clinics across England have been locked down by a ransomware attack, reports suggest. There are also some reports of a ransomware attack hitting.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

Wanna Decryptor: what is the ransomware behind the NHS attack?

 [DMK comment: not nearly as useful as headline implies.]

 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

Großbritannien: Cyberattacke auf britische Krankenhäuser

In Großbritannien sind Firmen und Organisationen Ziel eines digitalen Erpressungsversuchs geworden, darunter auch Krankenhäuser. Die nationale Gesundheitsbehörde spricht von "ernsthaften Problemen".

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

British hospitals hit by major cyberattack

Sixteen NHS divisions have been simultaneously hit by a so-called "ransomware attack." Patients have been diverted and non-emergency cases asked to stay at home.

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Indicadores de Compromiso

Qué son los indicadores de compromiso?

“IoC (Indicators of Compromise – Indicadores de Compromiso). Se trata de un modelo basado por lo general en metalenguajes que permite registrar, parametrizar, comparar, categorizar y compartir la información conocida del comportamiento de incidentes analizados previamente desde una perspectiva holística, cubriendo todas las variables clave y propiedades que pueden dar pie a una detección y clasificación efectiva, analizando exclusivamente aquellos elementos relacionados sin perder el tiempo en análisis adicionales “a ciegas” que no ofrezcan valor en las conclusiones.”

http://blog.isecauditors.com/2015/09/papel-de-los-ioc-en-respuesta-incidentes-seguridad-investigacion-forense.html

Lista de indicadores de compromiso : el hallazgo de estos archivos en sus sistemas de antivirus o de estos Files, Hashes en SHA256, hashes en MD5, hashes en SHA1, o cualquiera  estos IPS en sus firewalls, IPS o sistemas de antivirus , es una indicación de actividad de esta amenaza en sus redes:

Actual list of IOCs:

 Files
> mssecsvc.exe
> tasksche.exe
> C:\TaskData\Tor\libevent_core-2-0-5.dll
> C:\TaskData\Tor\libevent-2-0-5.dll
> C:\TaskData\Tor\libeay32.dll
> @WanaDecryptor@.exe.lnk
> @Please_Read_Me@.txt
> 00000000.res
> 00000000.pky
> 00000000.eky
> m.vbs
> 51941494583598.bat
 

SHA256
> 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
> ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
> f01b7f52e3cb64f01ddc248eb6ae871775ef7cb4297eba5d230d0345af9a5077
> 51432d3196d9b78bdc9867a77d601caffd4adaa66dcac944a5ba0b3112bbea3b
> 35f05cb83c79ee76b126d6b0bdffffc4b6f1a7067621699fcdfa7110db47cd5b
> 6c77e67da7e0ad457e104eb15ad1e3cfe0243fb9458abaaa36ad62907c2f13e8
> c916b96aaa85bf2e6e985f38e2a2e78f80ad94c573838cdbe4aabc8d0b429115
> 4a25d98c121bb3bd5b54e0b6a5348f7b09966bffeec30776e5a731813f05d49e
> 1a7123fbb6f27b920acde8571945c2e11297e91b7168afad58e9ee06232a40ef
> 58be53d5012b3f45c1ca6f4897bece4773efbe1ccbf0be460061c183ee14ca19
> 77a250e81fdaf9a075b1244a9434c30bf449012c9b647b265fa81a7b0db2513f
> 5cd126b4f8c77bdf0c5c980761a9c84411586951122131f13b0640db83f792d8
> 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79
> 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
> 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
> 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd
> b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
> ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
> f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
MD5
> fefe6b30d0819f1a1775e14730a10e0e
> 800446ec5d8b6041f6b08693d8aa1d53
> 1274897100937415351a45d14d1570d3
> e811362ba911ff4d65ac2aa2ea3a2125
> f04b0690d850539b33f0d0f1c14d5e55
> 7e6b6da7c61fcb66f3f30166871def5b
> e8ab186bafba6c1863f51a4e2ed72769
> 6ed47014c3bb259874d673fb3eaedc85
> 90f50a285efa5dd9c7fddce786bdef25
> e5df3824f2fcad0c75fd601fcf37ee70
> 4fef5e34143e646dbf9907c4374276f5
> 8495400f199ac77853c53b5a3f278f3e
> 509c41ec97bb81b0567b059aa2f50fe8
> 7bf2b57f2a205768755c07f238fb32cc
> 7f7ccaa16fb15eb1c7399d422f8363e8
> 84c82835a5d21bbcf75a61706d8ab549
> db349b97c37d22f5ea1d1841e3c89eb4
> f107a717f76f4f910ae9cb4dc5290594
SHA1
> 6d461ff1eddb21957383f8840e55c9674b81efc2
> 39b9e242af021ee4daa31956f5e786f5d8f9d62c
> b41b4e4c4b1ad352dbbc91a3a22f95bcdaccc461
> 9d912755518c2c3cebae88fc35d36b5d11c6f151
> 456c61b1ce3a7281f6489c509d285eb48fd774af
> 00f699cf9bbc0308f6e101283eca15a7c566d4f9
> c0f18b56f233c4bd19b9b5c2ed61e8c7f19000d9
> c9b29ba7e8a97729c46143cc59332d7a7e9c1ad8
> 54213da21542e11d656bb65db724105afe8be688
> 902418a4c5f3684dba5e3246de8c4e21c92d674e
> 47a9ad4125b6bd7c55e4e7da251e23f089407b8f
> be5d6279874da315e3080b06083757aad9b32c23
> 51e4307093f8ca8854359c0ac882ddca427a813c
> 87420a2791d18dad3f18be436045280a4cc16fc4
> bd44d0ab543bf814d93b719c24e90d8dd7111234
> e889544aff85ffaf8b0d0da705105dee7c97fe26
IPs
> 202.205.99.58
> 144.164.229.119
> 182.35.47.171
> 176.224.108.136
> 205.236.19.149
> 25.178.43.53
> 102.229.120.205
> 21.179.145.18
> 88.147.146.188
> 101.208.25.1
> 107.193.178.59
> 56.54.252.11
> 75.122.73.254
> 46.192.71.116
> 163.227.70.213
> 110.27.193.250
> 207.47.161.203
> 55.177.207.140
> 22.141.227.209
> 214.222.65.37
> 96.84.87.170
> 158.93.156.167
> 162.28.242.148
> 18.151.16.81
> 129.253.239.150
> 36.29.206.78
> 210.35.248.130
> 50.20.29.90
> 151.22.37.94
> 132.106.5.32
> 30.0.40.87
> 4.101.18.158
> 168.103.36.90
> 216.78.159.126
> 137.176.178.129
> 37.91.98.102
> 6.118.20.203
> 200.109.165.99
> 166.54.62.180
> 149.50.190.185
> 57.196.23.186
> 152.107.95.61
> 131.224.163.18
> 184.195.16.223
> 185.19.196.74
> 68.235.43.207
> 116.9.28.237
> 211.156.37.154
> 102.210.143.50
> 193.200.201.160
> 175.167.45.24
> 172.238.16.116
> 168.70.38.3
> 44.212.112.159
> 58.11.107.200
> 205.227.105.170
> 162.155.130.2
> 19.35.172.97
> 131.87.77.5
> 116.168.27.85
> 171.69.83.182
> 201.242.119.19
> 139.208.16.216
> 5.225.123.187
> 136.87.154.38
> 13.6.119.22
> 13.240.101.202
> 99.62.95.249
> 183.224.202.19
> 142.119.113.147
> 210.198.199.47
> 167.175.118.216
> 61.221.0.228
> 209.33.250.226
> 136.42.250.190
> 68.87.85.214
> 206.5.112.241
> 110.153.23.216
> 116.172.113.157
> 164.215.181.22
> 33.67.210.159
> 36.201.150.172
> 37.150.230.131
> 19.68.174.176
> 182.143.156.248
> 99.36.189.52
> 122.104.98.30
> 174.82.205.144
> 212.102.133.217
> 150.14.112.63
> 139.223.66.59
> 204.5.220.102
> 57.158.114.171
> 156.222.183.123
> 150.207.190.209
> 198.243.125.155
> 199.186.193.46
> 138.134.102.124
> 90.219.232.57
> 81.54.18.174
> 205.247.164.146
> 121.75.147.202
> 205.143.222.251
> 144.173.4.98
> 214.89.183.80
> 60.103.182.203
> 65.147.36.49
> 123.17.112.106
> 126.1.232.215
> 140.102.61.240
> 102.226.234.186
> 99.10.236.176
> 74.45.18.165
> 217.63.97.131
> 4.206.60.133
> 43.149.104.145
> 18.135.4.223
> 184.117.30.107
> 176.86.155.226
> 134.38.23.98
> 143.196.106.137
> 221.57.241.133
> 223.233.88.120
> 88.116.154.210
> 120.63.98.224
> 143.206.202.17
> 79.51.239.24
> 77.51.87.34
> 37.59.164.0
> 170.87.84.34
> 18.145.99.199
> 31.32.225.221
> 99.32.34.161
> 80.187.153.5
> 53.107.176.73
> 43.6.83.123
> 105.33.233.124
> 152.10.114.52
> 65.16.27.70
> 100.108.81.136
> 215.44.123.3
> 33.139.54.44
> 54.127.0.213
> 135.80.218.165
> 185.93.145.194
> 157.155.117.251
> 4.167.199.122
> 22.173.221.154
> 134.138.43.156
> 95.99.29.42
> 122.17.252.20
> 14.187.50.89
> 93.63.105.96
> 215.10.227.16
> 192.120.114.154
> 38.29.234.148
> 121.178.76.79
> 64.130.249.253
> 138.232.177.206
> 22.103.120.210
> 3.212.84.247
> 49.172.59.200
> 41.195.65.233
> 105.95.167.232
> 139.203.35.170
> 15.68.6.12
> 135.202.47.91
> 145.173.9.183
> 157.139.120.173
> 172.118.10.190
> 139.182.47.170
> 170.80.158.150
> 43.240.97.13
> 188.208.205.169
> 196.6.12.0
> 210.219.217.78
> 198.215.171.33
> 88.9.223.110
> 7.90.97.153
> 215.82.175.151
> 13.54.209.118
> 34.49.188.124
> 209.100.238.214
> 195.167.30.17
> 107.73.92.30
> 156.20.77.9
> 68.67.67.150
> 187.136.34.218
> 26.140.154.130
> 130.254.220.183
> 47.243.238.154
> 115.83.25.253
> 182.84.195.95
> 108.162.169.247
> 216.121.18.91
> 91.86.43.76
> 28.206.185.250
> 99.207.121.14
> 195.5.252.121
> 106.94.72.63
> 85.45.27.241
> 128.211.17.18
> 215.159.208.41
> 210.135.66.138
> 1.53.154.149
> 34.38.80.97
> 144.232.91.176
> 203.130.167.189
> 187.218.76.180
> 152.166.53.219
> 208.91.90.188
> 195.177.37.93
> 111.194.23.4
> 114.96.80.85
> 141.25.94.113
> 129.215.80.68
> 15.171.52.149
> 194.91.36.75
> 173.97.50.48
> 13.164.179.15
> 217.76.232.171
> 15.140.173.8
> 200.74.132.81
> 133.24.91.126
> 85.206.8.136
> 174.203.168.61
> 86.23.31.200
> 217.194.40.14
> 80.58.176.167
> 190.77.78.136
> 92.69.40.236
> 83.195.175.197
> 48.46.65.100
> 207.75.174.248
> 102.54.236.82
> 132.180.230.113
> 69.167.62.145
> 188.86.42.18
> 121.51.226.197
> 160.122.115.240
> 155.211.199.237
> 149.7.183.63
> 122.155.29.248
> 48.163.14.145
> 135.238.140.4
> 39.241.147.141
> 59.195.43.115
> 155.132.47.120
> 180.181.119.127
> 11.197.176.247
> 75.222.136.56
> 34.208.117.164
> 26.177.225.76
> 192.17.185.139
> 2.63.191.229
> 132.145.3.104
> 112.242.5.228
> 110.136.47.126
> 77.223.157.231
> 73.225.217.61
> 6.51.134.228
> 25.243.131.249
> 88.82.36.169
> 135.23.1.16
> 137.43.2.177
> 8.219.139.78
> 122.12.121.76
> 68.232.17.234
> 49.174.116.154
> 129.152.174.230
> 206.13.122.86
> 5.25.169.63
> 150.1.120.62
> 113.96.229.154
> 71.190.57.170
> 209.42.120.239
> 85.205.88.18
> 119.185.34.10
> 42.180.31.148
> 153.25.242.224
> 110.44.23.246
> 135.251.223.83
> 207.87.38.170
> 214.32.219.150
> 217.43.119.19
> 20.32.100.159
> 186.81.208.61
> 100.181.96.39
> 14.219.85.66
> 223.12.254.137
> 21.1.83.27
> 190.91.134.112
> 210.79.8.35
> 16.154.253.245
> 126.77.209.114
> 107.190.54.149
> 212.214.162.170
> 12.105.6.217
> 28.199.248.163
> 6.22.176.56
> 114.236.156.252
> 180.147.161.163
> 149.195.190.210
> 156.59.160.235
> 5.243.252.5
> 201.70.158.152
> 64.74.139.102
> 87.110.183.152
> 210.70.38.42
> 19.133.209.146
> 67.163.71.96
> 6.25.1.129
> 95.213.143.216
> 178.234.84.3
> 65.132.74.166
> 42.108.24.101
> 63.92.234.205
> 164.106.11.243
> 180.1.226.146
> 211.211.208.54

Si tiene dudas acerca de este documento o de cómo aplicar las mitigaciones a su infraestructura, por favor póngase en contacto con nosotros a:

Sistemas Aplicativos, S.A.

soc@sisap.com

soporte@sisap.com

+502 2410 4300

+502 2329 4300

 

 

No hay comentarios

Agregar comentario