Ransomware Petya (CVE-2017-0199 y MS17-010)

 

Descripción:

Ante la campaña de ransomware detectada esta mañana, que afecta a sistemas Windows, el CCN-CERT señala que, en este caso, sí es necesaria la interacción del usuario a través de un vector de infección, probablemente basado en el correo electrónico (spear-phishing).

El ataque recibido en el e-mail puede explotar alguna vulnerabilidad de Microsoft Office que, según diversas investigaciones podría ser la CVE-2017-0199. Seguidamente se propagaría a través de infecciones en las carpetas compartidas en la red de la Organización afectada.  Además, intenta utilizar las vías de infección del exploit que aprovecha la vulnerabilidad de Microsoft MS 17-010. En el caso de que el sistema estuviera parcheado ante esta vulnerabilidad, el malware utiliza una alternativa basada en la ejecución de la aplicación propietaria del sistema Windows “Psexec” en carpetas compartidas sobre el sistema víctima.

En las pruebas realizadas en sistemas Windows 10 con privilegios de administrador, el código dañino es detectado y bloqueado por Windows Defender.

Descarga sample:

https://yadi.sk/d/QT0l_AYg3KXCqc 

Pass: virus

Recomendaciones:

- El CCN-CERT recomienda la actualización a los últimos parches de seguridad de Office y de Windows.
- Extremar las precauciones para evitar acceder a correos o enlaces no legítimos. Además, se recomienda deshabilitar la ejecución remota de código.

Reglas para SNORT: 

alert tcp any any -> $HOME_NET 445 (msg: "[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; flow: to_server, established; content: "|FF|SMB2|00 00 00 00|"; depth: 9; offset: 4; byte_test: 2, >, 0x0008, 52, relative, little; pcre: "/\xFFSMB2\x00\x00\x00\x00.{52}(?:\x04|\x09|\x0A|\x0B|\x0C|\x0E|\x11)\x00/"; flowbits: set, SMB.Trans2.SubCommand.Unimplemented; reference: url, msdn.microsoft.com/en-us/library/ee441654.aspx; classtype: attempted-admin; sid: 10001254; rev: 2;)

alert tcp any any -> $HOME_NET 445 (msg: "[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; flow: to_server, established; content: "|FF|SMB3|00 00 00 00|"; depth: 9; offset: 4; flowbits: isset, SMB.Trans2.SubCommand.Unimplemented.Code0E; threshold: type limit, track by_src, seconds 60, count 1; reference: cve, 2017-0144; classtype: attempted-admin; sid: 10001255; rev: 3;)

alert tcp any any -> $HOME_NET 445 (msg: "[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; flow: to_server, established; content: "|FF|SMB2|00 00 00 00|"; depth: 9; offset: 4; content: "|0E 00|"; distance: 52; within: 2; flowbits: set, SMB.Trans2.SubCommand.Unimplemented.Code0E; reference: url, msdn.microsoft.com/en-us/library/ee441654.aspx; classtype: attempted-admin; sid: 10001256; rev: 2;)

alert tcp any any -> $HOME_NET 445 (msg: "[PT Open] Petya ransomware perfc.dat component"; flow: to_server, established, no_stream; content: "|fe 53 4d 42|"; offset: 4; depth: 4; content: "|05 00|"; offset: 16; depth: 2; byte_jump: 2, 112, little, from_beginning, post_offset 4; content: "|70 00 65 00 72 00 66 00 63 00 2e 00 64 00 61 00 74 00|"; distance:0; classtype:suspicious-filename-detect; sid: 10001443; rev: 1;)

alert tcp any any -> $HOME_NET 445 (msg:"[PT Open] SMB2 Create PSEXESVC.EXE"; flow:to_server, established, no_stream; content: "|fe 53 4d 42|"; offset: 4; depth: 4; content: "|05 00|"; offset: 16; depth: 2; byte_jump: 2, 112, little, from_beginning, post_offset 4; content:"|50 00 53 00 45 00 58 00 45 00 53 00 56 00 43 00 2e 00 45 00 58 00 45|"; distance:0; classtype:suspicious-filename-detect; sid: 10001444; rev:1;)

• Tweet
• Share
• Share
• Share
• Share