Publicado em Deixe um comentário

Muddywater

Nestes últimos dias alguém decidiu publicar código e informações adicionais sobre este grupo de ataques persistentes avançados.

Este grupo mudou as sua estratégia para evitar deteção. Com a ultima campanha com o nome de código blackwater os investigadores de segurança estão a publicar informação mais detalhada sobre as técnicas do grupo.

Se a campanha for concluída com sucesso os atacantes instalam uma porta de entrada baseada em powershell na máquina da vitima. Isto permite aos atacantes acesso remoto á maquina.

Na tentativa de alcançar persistência na maquina é também usado um código ofuscado em VBA para inclusão de chave no registo que permite essa persistência, depois o script inicializa um “stager” em powershell para tentar passar á fase 2 da infeção onde comunica com um servidor e tenta fazer download de um outro modulo que é uma open source framwork no github. Isto permite ao atacante recolher mais informação da máquina e ate detetar tentativas de análise á maquina infetada por terceiros.

Mais informação sobre este grupo, estratégias e codigo pode ser encontrada nas ligações em baixo.

Informação sobre o grupo

https://blog.talosintelligence.com/2019/05/recent-muddywater-associated-blackwater.html

Informação detalhada da CISCO Talos.
informação sobre o muddywater
Libertação de código fonte do muddywater

Código Fonte

https://github.com/0xffff0800/muddyc3

Código fonte libertado.
Publicado em Deixe um comentário

Ransomware e problemas futuros…

Nos últimos dias tem havido grande alarido por causa de uma versão do Petya ransomware.

Estes senhores levaram o problema a uma situação em que a maquina fica inutilizada provocando uma negação de serviço aos utilizadores / empresas.

Apesar de já existir desde Abril esta versão engloba um sistema idêntico ao do Wannacry alem de outras técnicas para se mover lateralmente e roubar todas as credenciais da maquina que acabou de infectar.

Esta estirpe é um pouco diferente e muito mais difícil de detectar pois não utiliza ficheiros…

Aqui fica a ligação para poderem compreender um pouco a dor de cabeça 🙂

https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/

 

Publicado em Deixe um comentário

Como Mitigar o impacto do Malware WannaCry

[alert type=”danger”]

Atenção estes passos nao impedem a infeção inicial pois essa é causada pela abertura de um email malicioso. O que tenta ajudar é evitar a movimentação lateral (infeção de outros sistemas na mesma rede).

A única forma eficiente de evitar ser infectado é ter em dia o seu sistema, antivirus e ter cuidado a abrir emails que desconhece.

As acções  descritas neste artigo podem não ser suficientes para impedir a propagação do virus, tudo depende da informação disponível no momento da escrita do artigo. Tentarei manter actualizado o artigo dentro do possível.

[/alert]

O malware WannaCry propaga-se utilizando uma vulnerabilidade no serviço de SMB.

Uma forma eficiente de mitigar a sua propagação na rede é aplicar todos os patches de segurança.

Também inspeciona todas as sessões RDP existentes no sistema e cifra a informação remota a que o utilizador tem acesso. 

Outra forma e desligar os serviços que ele utiliza para se propagar na sua infra-estrutra.

O serviço SMB esta dividido em duas partes o cliente e o servidor.

Ambos estão presentes no windows apesar da componente servidor poder estar ou não activa.

Caso nao seja possível podemos desligar o SMBv1 presente nos sistemas das seguintes formas:

Componente Servidor:

Windows 8 and Windows Server 2012

Abrir uma janela de Powershell e escrever o seguinte comando em modo administrador

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008

Abrir uma janela de Powershell e escrever o seguinte comando em modo administrador

Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” SMB1 -Type DWORD -Value 0 -Force

Componente Cliente:

Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, and Windows Server 2012

Abrir uma janela de Linha de comandos (DOS) e escrever em modo administrador os seguintes commandos:

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Utilizando O GUI para remover o cliente:

How to gracefully remove SMB v1 in Windows 8.1, Windows 10, Windows 2012 R2, and Windows Server 2016

Server Manager - Dashboard method

Nos Windows mais antigos:

Add-Remove Programs client method

Caso necessite de ajuda para desactivar estas funcionalidades contate-nos que estamos disponíveis para ajuda-lo.

Ligações Úteis técnicas:

The worm that spreads WanaCrypt0r

https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/?platform=hootsuite

Publicado em Deixe um comentário

Ataque Informático em grande escala?

1TB de espaço na nuvem

Hoje apareceram nos meios de comunicação várias noticias sobre um ataque informático à escala global relacionado com Ransomware…

Não percebi bem a razão de tanto empolamento destas notícias pois isto é o dia a dia da informática.

Impedir que estes ficheiros maliciosos cheguem aos utilizadores menos conhecedores e sejam executados por eles é o objectivo de qualquer departamento de informática.

À primeira vista não me parece ser uma coisa pudesse dar origem a tão grande alarido.

Só depois de investigar um pouco é que percebi que há algo mais…

Ao passo que o normal Ransomware tem um vetor de ataque normalmente por email e necessita de ser executado e auto destrói-se cifrando a maquina onde se executou e automaticamente sendo contido a essa maquina.

Neste ataque aparentemente o malware utiliza alguma técnica não divulgada para se propagar na infraestrutura causando um problema maior e de difícil contenção.

Pelo que li utiliza uma vulnerabilidade que foi corrigida pela microsoft em Março e divulgada em larga escala em Abril pelo grupo de nome ShadowBrokers.

A vulnerabilidade é a MS17-010.

A utilização deste exploit é que veio dar mais visibilidade a este ataque.

Mais uma vez as estatísticas não enganam, dizem que o tempo médio de passagem de um exploit dia zero á sua inclusão num malware é por norma 2 a 3 meses… 🙁

As empresas deveriam ter em consideração este tempo para o seu Ciclo de Patch Management.

Mais uma vez não se compreende como passados 2 meses de terem solução para este problema há ainda empresas que se deixam afectar por este tipo de incidentes.

Se as máquinas que estão na rede não podem ser actualizadas o mais rápido possível então as empresas devem implementar outras soluções que dificultem a propagação destes virus, isolando as maquinas noutras redes e deixando apenas os serviços necessários disponíveis criando assim o máximo de isolamento possível e uma segurança por camadas.

Hoje em dia a utilização de topologias planas nas infra-estrutura é uma dádiva a qualquer atacante.

Mais informação:

https://www.publico.pt/2017/05/12/tecnologia/noticia/ataque-informatico-internacional-afecta-empresas-e-hospitais-1771939

[alert type=”success”]

A única forma de eficiente de mitigar um ataque deste tipo é implementar políticas de backup e ter os sistemas operativos em dia.

[/alert]