mas a maneira como ele entra em PCs e se espalha pela rede é realmente uma notícia antiga.

Em resumo, a Petya faz 3 coisas: criptografe seus arquivos, roube credenciais, espalhe para outras máquinas.

Aproveita a “Vulnerabilidade Shadow Broker” MS17-010. Se você tiver corrigido sua máquina, você não será atingido com a exploração SMB.
Como sempre, ele também usa Mimikatz como recursos para roubar credenciais da máquina local e copiá-lo para outras máquinas $ Admin compartilhar.

Um kill-switch foi descrito como simples como criar um arquivo chamado C: \ Windows \ perfc (sem extensão).
Isso deve parar a versão atual do Petya.

Se você quiser parar a próxima versão ou o próximo “ransomworm”, há uma série de coisas que você poderia fazer.

Quase 90% dos ataques compartilham o mesmo padrão de ataque:
E-mail disfarçado com link para um site mal-intencionado ou possui um documento do Office com macro oculta.
O usuário é enganado para abrir o link ou o anexo e o código é executado em uma máquina.

Dependendo do objetivo e da ingenuidade dos escritores de malware, as ameaças precisam ser tratadas de forma diferente. Você não pode apenas configurar uma sólida defesa de e-mail e deixá-lo nisso.

Existem semelhanças na abordagem de melhores práticas para mitigar efetivamente contra malwares, independentemente da finalidade do malware.Lockheed Martin definiu um quadro de segurança: “CyberAttack Kill Chain”, que é uma boa maneira de discutir / analisar cenários e defesas de segurança.

Existem 4 fases principais.

“Entrega” – sobre entrar
“Exploit / Execution” – código de execução na máquina
“Movimento Lateral” – atravessando a rede infectando outras máquinas
“Ação” – obtendo o que eles vieram para

Abaixo estão as fases e a descrição sobre o que Petya faz e como você pode se proteger.

Sabemos que muitas empresas estão lutando fazendo grandes mudanças em suas infraestruturas para combater esses ataques. As mudanças na infra-estrutura podem ser dispendiosas, podem envolver múltiplas unidades de negócios e exigir treinamento de usuários finais. Um atraso em fazer mudanças na infraestrutura também pode causar atrasos na implementação das defesas que precisam desesperadamente. O fato de que tantas organizações ainda não aplicaram a atualização MS17-010 de março fala por ele mesmo.

Eu tentei focar em soluções que são relativamente fáceis de implementar, mas ainda aumentam significativamente a barra de segurança. Mas se você quer a melhor segurança, você precisaria de mais.

Entrega

Ataque

<Edit> Como alguns apontaram, Petya ou NotPetya inicialmente vieram do mecanismo de remendos do Ucraniano Medoc. Fazendo download do patch com o código Petya e, a partir daí, se espalham usando a vulnerabilidade Shadow Broker “MS17-010 e roubam credenciais para se mover lateralmente.À medida que a história evoluiu, há relatórios sobre diferentes vetores de ataque onde o email com xls e hta está entre eles. Cerca de 90% do Ransomware e Malware em geral são entregues por e-mail, isso deve ser uma prioridade para fortalecer as defesas aqui. </ Edit>

  • Petya usa “Vulnerabilidade Shadow Broker” MS17-010 para se espalhar para sua máquina
  • 85-90% de Malware é entregue ao negócio como um E-mail com anexo ou link para código mal-intencionado.
  • Filtro de e-mail com inspeção inadequada, não detectando código ofuscado e não é capaz de rastrear o que os links incorporados apontam.
  • O resultado é que é permitido passar a inspeção a ser entregue à caixa de correio dos usuários.

Prevenção

  • Atualize todas as suas máquinas do Windows com o MS17-010
  • Desativar SMBv1 Este é o método atualmente mais utilizado para se espalhar pela rede. Use https://blogs.technet.microsoft.com/staysafe/2017/05/17/disable-smb-v1-in-managed-environments-with-ad-group-policy/
  • E3 Exchange Online / O365 Advanced Threat Protection tem SafeLink e SafeAttachment com análise de sandbox.
  • A maioria dos ataques provavelmente será interrompida com as configurações de spam SPF Hard fail , pois o remetente geralmente é falsificado.
  • Considere adicionar um aviso legal sobre e-mails provenientes de fora, para aumentar a conscientização dos usuários.

2017-06-28 17_03_56-RE_ latest ransomware - Message (HTML)

Exploração / Execução

Ataque

  • Petya é relatado para ser escondido em um documento do Office – como uma macro – que irá lançar Explorer.exe e soltar arquivos em% temp%.Esta é uma abordagem muito comum com ataques de phishing ou malwares.
  • Vou tentar iniciar subprocessos criptografando arquivos e espalhando para outras máquinas.

Prevenção

  • O kill-switch relatado para Petya é colocar um arquivo vazio como C: \ Windows \ perfc
  • O Device Guard efetivamente impedirá que o código executável desconhecido seja executado. Toma planejamento, testes e treinamento.
  • Considere usar GPO com Restrições de Software ou AppLocker como um primeiro passo de abordagem de bloqueio. Mais fácil de implementar, mas não permita que ele substitua os planos de implementação do Device Guard!
  • Impedir que os usuários iniciem aplicativos diretamente de% TEMP%,% APPDATA% e% PROGRAMDATA% – Mesmo alguns aplicativos têm problemas, muito poucos são relacionados a negócios (Spotify etc.)
  • Remova os direitos de administrador dos usuários, use “Diretor de acesso” se sua empresa não puder aceitar permissões completamente removidas. ( Www.basic-bytes.com )
  • As configurações de macro devem ser bloqueadas
  • – Deve ser habilitado para todos os aplicativos do Office
  • – Bloquear macros de execução em arquivos do Office da Internet (se houver uma justificativa de negócios, o remetente precisa de suas macros para serem assinadas)
  • – Exigir assinatura para suplementos de aplicativos
  • – Remova a barra de Confiança para quaisquer macros não assinadas (também desativará as macros)

Movimento lateral

Ataque

  • Exploite roubar credenciais usando a funcionalidade Mimikatz, copiar arquivos para compartilhamentos de rede, usando a vulnerabilidade CVE-2017-0144 / MS17-010 para se espalhar para outras máquinas.
  • Atualmente, é codificado para usar o wmic.exe incorporado por caminho explícito e descarta uma variante do psexec.exe renomeado para dllhost.dat (entre outros nomes)

Prevenção

  • Atualize todas as suas máquinas do Windows com o MS17-010
  • Novamente: Device Guard é a mitigação de segurança mais recomendada, mas requer planejamento, teste e treinamento
  • Considere o uso de GPO com Restrições de Software / Applocker para bloquear wmic.exe Este processo é codificado em Petya e esse processo não está sendo usado por um usuário comum, mesmo que isso seja apenas para fazer controle de danos aqui e agora.
  • Usando a solução de senha de administrador local para criar senhas de senha exclusivas para cada servidor e estação de trabalho no domínio, efetivamente interrompe a capacidade de reutilizar as credenciais.
  • Crie contas para administrar máquinas de cliente final. Crie uma Política de Grupo para negar o logon local para contas de administrador de servidor / domínio em qualquer estação de trabalho usada para ler e-mails e navegar na internet. As credenciais de administração não devem ser expostas a nenhuma estação de trabalho do usuário final.
  • Ativar Credential Guard no Windows 10 – isolando credenciais, portanto, não é mais possível extrair senhas do processo lssas.exe e ler credenciais em cache.
  • Certifique-se de que suas máquinas W2008R2 e W7 tenham o patch Backport KB2871997 instalado e que as Políticas de Grupo estejam em vigor para “impedir que usuários locais acessem a rede”.
  • Segmente sua rede. Crie a regra do bloco de firewall do GPO para bloquear o tráfego de Cliente para Cliente em TCP139 e TCP445 “.Mas verifique se você não possui aplicativos que tenham requisitos de comunicação cliente a cliente.
  • Desativar SMBv1 Este é o método atualmente mais utilizado para se espalhar pela rede. Use https://blogs.technet.microsoft.com/staysafe/2017/05/17/disable-smb-v1-in-managed-environments-with-ad-group-policy/
  • Detectar e investigar usando o Windows Defender Advanced Threat Protection . De onde veio ?, Para onde se espalhou? Bloquear processos e isolar máquinas (se o Windows 10 1703)

Açao

Ataque

  • Uma vez que o exploit tenha sido capaz de executar, novos arquivos executáveis ​​PE são iniciados para iniciar a criptografia e tentar roubar credenciais salvas na máquina local

Prevenção

  • Device Guard novamente! Ver um padrão?
  • Bloqueie a capacidade de executar executáveis diretamente de% TEMP%,% APPDATA% e% PROGRAMDATA% usando Restrições de Software GPO / Applocker
  • Remover usuários Direitos de administrador Use “Diretor de acesso” se sua empresa não puder aceitar permissões completamente removidas. ( Www.basic-bytes.com )
  • Detectar a passagem de credenciais usando o Microsoft Advanced Threat Analytics . O uso da Mimikatz como uso usa o hash para acessar compartilhamentos de $ admin nas máquinas circundantes. MS ATA detectará isso para você.

Como mencionei, há muito mais em proteger um ambiente com todas as variedades no CyberAttacks. A esperança acima lhe dá informações sobre como proteger-se de ser atingido por esta e pela próxima ameaça.

Anúncios