1. Fortinet Security Fabric y Wannacry
Ransomware
El 12 de mayo de 2017 el WanaCry Ransomware interrumpió el funcionamiento de
cientos de organizaciones en docenas de países. El ransomware cifra
documentos y archivos personales y críticos del sistema. Fortinet Security
Fabric brinda soluciones ante esta amenaza.
2. Es importante señalar que las soluciones de Fortinet FortiGate y Fortinet
Security Fabric bloquean con éxito este ataque.
FortiGate IPS bloquea el exploit
FortiSandbox detecta el comportamiento malicioso
Nuestro motor AV detecta el malware junto con sus variantes
Nuestro filtro Web identifica los sitios objetivo y bloquea o permite
apropiadamente
El ISFW de FortiGate detiene la propagación del malware
El comportamiento es similar a un gusano que explota el puerto 445 del
servidor en busca de una puerta trasera. Si la puerta trasera está presente,
la recargará, y si no la encuentra tomará una ruta de explotación ligeramente
menos fiable. Por esta razón, recomendamos que las organizaciones (por ahora)
bloqueen el puerto 445 desde Internet o, además, utilicen capacidades NGFW
para bloquear el propio protocolo SMB.
El malware es modular. Esto significa que debido a que podría conceder
privilegios de superusuario a los actores maliciosos en el dispositivo
infectado, les permitiría descargar malware adicional y URL de spoof.
En un caso observado por Fortinet, el malware se aprovechó primero de la
vulnerabilidad CVE-2017-0144 para obtener acceso al sistema.
TOR saliente
El malware descarga un cliente TOR y comienza a comunicarse con los
servidores del protocolo TOR. Recomendamos bloquear el tráfico de TOR
saliente. Puede realizar esto en dispositivos FortiGate utilizando las firmas
de AppControl. Para ello, vaya a los perfiles de seguridad, el control de
aplicaciones y la selección de agregar firma en “Sobrecargas de aplicación”.
3. A continuación, agregue el protocolo Tor:
Ahora puede ver qué está siendo bloqueado. Asegúrese de tener activada la
directiva de aplicación firewall.
4. TOR entrante
Aunque no es necesario, es posible que también desee considerar el bloqueo
del tráfico entrante procedente de la red TOR. El tráfico entrante procedente
de la red TOR se parece a cualquier otro tráfico de Internet. Sin embargo, el
punto de origen se produce en los nodos de salida TOR.
Una lista de nodos de salida bien conocidos se muestra y se actualiza en la
base de datos de servicios de Fortinet. Puede usar esta lista pre-construida
en una directiva de firewall. Si se permite que el malware se comunique,
intentará conectarse a varios dominios maliciosos.
El motor de filtrado Web de Fortinet clasifica estos dominios conocidos como
maliciosos y, si se configuran correctamente, deben bloquear estos dominios
5. como parte de las políticas de firewall. Existe un interruptor kill en el
malware que detiene su ejecución si encuentra que existe el dominio “www [.]
Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com”. Si bien este dominio
originalmente no existía, un investigador de malware en el Reino Unido lo ha
registrado.
Para que el interruptor kill funcione, el malware debe poder comunicarse con
el dominio kill switch. Fortinet ha decidido no categorizar el dominio kill
switch como malicioso. Sin embargo, los informes a partir del 14 de mayo de
2017 identificaron una versión del malware que elimina el interruptor kill,
lo que hace que este sea un medio ineficaz de mitigación.
De hecho, el interruptor kill ahora parece ser obsoleto, ya que el ataque
sigue en curso y las muestras de estas nuevas olas incluyen nombres de
dominio diferentes, o algunos no incluyen un interruptor.
Cómo ver el malware
Fortinet proporciona dos firmas IPS primarias para detectar el ataque. Estas
son:
MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
Backdoor.Double.Pulsar Anti-Malware
Los motores de Fortinet Anti-Malware / Anti-Virus tienen firmas inteligentes
habilitadas para detectar el malware:
W32 / Agent.AAPW! Tr
W32 / CVE_2017_0147.A! Tr
6. W32 / Farfli.ATVE! Tr.bdr
W32 / Filecoder_WannaCryptor.B! Tr
W32 / Filecoder_WannaCryptor.D! Tr
W32 / Gen.DKT! Tr
W32 / Gen.DLG! Tr
W32 / GenKryptik.1C25! Tr
W32 / Generic.AC.3EF991! Tr
W32 / Scatter.B! Tr
W32 / Wanna.A! Tr
W32 / Wanna.D! Tr
W32 / WannaCryptor.B! Tr
W32 / WannaCryptor.D! Tr
W32 / Zapchast.D! Tr
Tenga en cuenta que algunas firmas AV requieren que los dispositivos
FortiGate se configuren utilizando las definiciones de antivirus extendidas.
En su dispositivo FortiGate usted deberá acceder a System-FortiGuard, y luego
habilitar AV extendido e IPS extendido, si están disponibles.
Revise que el ransomware también dejará un archivo llamado ! Por favor ,
Léeme ! .txt con más instrucciones. El nombre del archivo puede cambiar
ligeramente con cada infección.
Artículo original en el blog oficial de Fortinet (Inglés)