Computerbeveiliging - Hoe je bad guys buiten de deur houdt

WanaCrypt0r

13-05-2017, 23:18 door SecGuru_OTX, 47 reacties
Ik weet het, er is al heel veel over geschreven... maar ik merk ook dat er nogal wat onduidelijkheid is over WanaCryptOr.

Verspreiding.(is nog steeds actief, onze kwetsbare honeypot is in NL binnen 1 uur besmet geraakt):

Er is een worm actief die gebruik maakt van de ETERNALBLUE SMB kwetsbaarheid, deze worm is verantwoordelijk voor de verspreiding van WanaCryptOr. Dus geen vreemde e-mail bijlages.

Het proces:
1. De worm scant actief op port 445((dus geen 137-139)
2. Wanneer de worm op port 445 kan verbinden en de ETERNALBLUE SMBv1 kwetsbaarheid aanwezig is:
3. Activatie van WinMain exe op remote host:
4. Check op connectiviteit naar www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea(.)com, bij connectiviteit stopt de worm, bij geen connectiviteit:
4. Installatie van service: mssecsvc2.0, vorvolgens:
5. Downloaden en activatie van payload.

De worm heeft maar 1 systeem met een open port 445 en ETERNALBLUE SMBv1 kwetsbaarheid nodig om vanuit dat system toegang te verkrijgen tot het interne netwerk. Eenmaal op het interne netwerk kan hij helemaal zijn gang gaan.

De geactiveerde payload kan database processen zoals b.v. SQL, Exchange, MySQL uitschakelen zodat ook die databases versleuteld kunnen worden.

Wanneer de connectie naar www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea(.)com niet mogelijk is door beveiligingsproducten zoals proxy's, url scanners, dns blokkades, etc, en de worm wel toegang heeft tot een kwetsbaar systeem, dan zal WanaCrypt0r alsnog worden geactiveerd.

Een paar tips om echt geen risico te lopen(op WanaCrypt0r):
- installeer de MS17-010 updates asap, deze zijn inmiddels ook voor Windows XP en 2003 uitgebracht;
- blokkeer port 445 vanaf het Internet;
- zet port 445 op interne systemen alleen open van en naar andere systemen die deze verbinding echt nodig hebben.(endpoints hoeven onderling niet met elkaar te communiceren op port 445, denk daarbij ook aan laptops die door medewerkers mee naar huis worden genomen)
- maak gebruik van anti-exploit oplossingen(b.v Sophos Intercept X, HitmanPro.alert, Malwarebytes AE, Barkley, PalomAlto Traps, etc)
- zorg ervoor dat je update proces in control is, controleer je update proces met een andere oplossing dan WSUS. WSUS is om updates te installeren, oplossingen zoals b.v. Qualys, Nessus, Flexera CSI, etc, zijn er om te controleren.
- scan al je direct internet connected systemen dagelijks op open poorten en veranderingen hierin, b.v. Nmap, Hackertarget, Qualys, Nessus, etc. Deze laatste drie kunnen notificaties versturen indien er wijzigingen zijn.
Reacties (47)
13-05-2017, 23:27 door Anoniem
Vragen die naar mijn idee veel (gewone) gebruikers zullen hebben (en ik dus ook):

- hoe kan ik in de windows firewall zo'n poort eenvoudig dichtzetten? Bestaat daarvan een een of ander voorbeeld?

- is het niet zo dat ook al zet je die poort dicht, er binnenkort een andere versie verschijnt die een andere port gebruikt?

- hoe moet een 'gewone' gebruiker die dagelijkse scans zien? Is dat niet meer werk voor de antivirus software of het systeem zelf?
zoiets is toch veel te ingewikkeld voor 'de gewone man'?
13-05-2017, 23:27 door SecGuru_OTX
P.s. er is zojuist een sample van de worm binnengekomen ZONDER killswitch.
13-05-2017, 23:49 door SecGuru_OTX
Door Anoniem: Vragen die naar mijn idee veel (gewone) gebruikers zullen hebben (en ik dus ook):

- hoe kan ik in de windows firewall zo'n poort eenvoudig dichtzetten? Bestaat daarvan een een of ander voorbeeld?

- is het niet zo dat ook al zet je die poort dicht, er binnenkort een andere versie verschijnt die een andere port gebruikt?

- hoe moet een 'gewone' gebruiker die dagelijkse scans zien? Is dat niet meer werk voor de antivirus software of het systeem zelf?
zoiets is toch veel te ingewikkeld voor 'de gewone man'?

Eens, deze post is meer gericht op organisaties.

Mijn tips voor 'de gewone man':

- installeer altijd de nieuwste updates;
- gebruik Flexera PSI (gratis voor persoonlijk gebruik) om je geinstalleerde software waar je geen inzicht in hebt te updaten;
- gebruik een adblocker;
- gebruik de Virusscanner van je provider, indien deze geen gratis virusscanner kan leveren, koop dan Kaspersky Internet Security;
- Koop Malwarebytes Premium of Hitman.alert
- Maak een normale gebruiker op je systeem aan, en ga onder dat account werken en niet meer met admin rechten.
14-05-2017, 00:01 door Anoniem
Prima, die 'tips voor de gewone man'.

Maar één heel belangrijke tip mis ik nog:
Zorg voor een complete en geteste backup die op een device staat wat niet direct benaderbaar is vanaf het boze web en/of je werk-PC.
Oh ja, had ik het al gezegd? Zorg voor een backup (offline)!
Oh ja, en maak die backup ook regelmatig!
14-05-2017, 00:41 door SecGuru_OTX
Wave 2 Zonder Kill-Switch:

http://thehackernews.com/2017/05/wannacry-ransomware-cyber-attack.html?m=1
14-05-2017, 01:59 door Anoniem
Het lijkt me aannemelijker dat de worm eerst via opening van bijv. een email bijlage begint, en daarna zich door poorten 445 doorwurmen naar de rest van je netwerk zo ver als het maar komen kan.
Waarom? Een gemiddeld (thuis)netwerk heeft immers een router met SPF.
Een ondoordringbare barrriere waar niemand zomaar even vanzelf door poort 445 binnenkomt vanaf het internet.

Als dat wel gebeurt, dan heb je of port 445 in je router bewust opengezet, of anders is er iets op je PC gestart wat het logisch maakt dat op port 445 ook weer netwerkverkeer kan terugkomen.
14-05-2017, 08:50 door Anoniem
@ SecGuru_OTX het klinkt allemaal leuk en aardig, maar je geeft geen info over je honeypot. Welke OS draai je? Indien je Win 2008 server draait zie ik geen gevaar voor thuis gebruikers.
14-05-2017, 09:46 door SecGuru_OTX
Dat klopt ook allemaal, de gewone thuisgebruiker die netjes achter een router werkt, zonder portforwarding, loopt ook nagenoeg geen risico op WanaCrypt0r.

Het zijn zo goed als allemaal organisaties die ergens een poort 445 open hebben naar een kwetsbaar systeem.

Honeypot is Windows met poort 445 forwarding en zonder MS17-010 patch.
14-05-2017, 09:58 door SecGuru_OTX
P.s. het verbaast mij ook dat poort 445 open staat, wellicht uit ontwetendheid? Config fouten?

Bedenk ook dat b.v. veel Windows Cloud VPS servers direct aan het internet worden gekoppeld, alleen afhankelijk van de lokale firewall waar SMB standaard open staat.

Hoeveel organisaties scannen dagelijks op poortverandering vanaf het internet??? En hebben ook nog eens een proces die de resultaten van die scan vergelijken met het beleid/baseline en daar waar nodig direct actie ondernemen?
14-05-2017, 10:16 door SecGuru_OTX
Door Anoniem: Het lijkt me aannemelijker dat de worm eerst via opening van bijv. een email bijlage begint, en daarna zich door poorten 445 doorwurmen naar de rest van je netwerk zo ver als het maar komen kan.
Waarom? Een gemiddeld (thuis)netwerk heeft immers een router met SPF.
Een ondoordringbare barrriere waar niemand zomaar even vanzelf door poort 445 binnenkomt vanaf het internet.

Als dat wel gebeurt, dan heb je of port 445 in je router bewust opengezet, of anders is er iets op je PC gestart wat het logisch maakt dat op port 445 ook weer netwerkverkeer kan terugkomen.

Dat klinkt idd aannemelijker omdat iedereen deze methode gewent is, en zou daarom ook nooit doorgroeien tot 1 van de grootste aanvallen ooit.

Scannen op bijlages met scripts en executables doen inmiddels al heel veel organisaties en/of mailproviders, omdat iedereen verwacht dat de ransomware daar vandaan komt.

Distributie via worm op SMBv1 is nieuw.
14-05-2017, 10:43 door Anoniem
Door SecGuru_OTX:
Door Anoniem: Het lijkt me aannemelijker dat de worm eerst via opening van bijv. een email bijlage begint, en daarna zich door poorten 445 doorwurmen naar de rest van je netwerk zo ver als het maar komen kan.
Waarom? Een gemiddeld (thuis)netwerk heeft immers een router met SPF.
Een ondoordringbare barrriere waar niemand zomaar even vanzelf door poort 445 binnenkomt vanaf het internet.

Als dat wel gebeurt, dan heb je of port 445 in je router bewust opengezet, of anders is er iets op je PC gestart wat het logisch maakt dat op port 445 ook weer netwerkverkeer kan terugkomen.

Dat klinkt idd aannemelijker omdat iedereen deze methode gewent is, en zou daarom ook nooit doorgroeien tot 1 van de grootste aanvallen ooit.

Scannen op bijlages met scripts en executables doen inmiddels al heel veel organisaties en/of mailproviders, omdat iedereen verwacht dat de ransomware daar vandaan komt.

Distributie via worm op SMBv1 is nieuw.
schrijf je wel wat bedoeld SecGuru_OTX? je lijkt te wisselen tussen het eens zijn en dan zeggen dat het toch anders is.

het lijkt mij een combinatie, het kan via de normale ransomware kanalen binnenkomen. die staan nog lang niet dicht, deels gewoon niet gedaan, deels houd je het daarmee niet 100% tegen. als het dan eenmaal binnen is dan kan het als worm verder gaan verspreiden. voornamelijk bij grotere LAN netwerken een extra impact die voor ransomware nog niet eerder op deze schaal gezien is.
14-05-2017, 14:27 door [Account Verwijderd] - Bijgewerkt: 14-05-2017, 14:28
[Verwijderd]
14-05-2017, 15:24 door Anoniem
Van NCSC:
Volgens eerste analyses komt de ransomware initieel via email binnen. Vervolgens verspreidt deze zich via een SMB kwetsbaarheid op het interne netwerk als een worm. Deze verspreidingsvorm zorgt ervoor dat de ransomware in vrij korte tijd binnen een bedrijf veel systemen kan infecteren.
Dat is niet alleen het meest aannemelijk maar ook de experts zeggen het: Het begint wel degelijk bij het openen van een e-mail. Op andere bekende manieren kan ook, maar ik denk dat per e-mail in de praktijk nog altijd de meest succesvolle manier is om in iemands lokale netwerk binnen te dringen.
14-05-2017, 15:39 door SecGuru_OTX
Door Komsowalski: Matthieu Suiche maakt melding van de vondst van nieuwe killswitches.
https://twitter.com/msuiche/status/863730377642442752
https://twitter.com/msuiche/status/863731452965466112

Welke versies van de Ransomware Suiche precies bedoelt weet ik op dit moment niet.

Klopt, hier de hash:

https://www.virustotal.com/en/file/32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf/analysis/1494763431/
14-05-2017, 16:02 door Anoniem
Door SecGuru_OTX: Dat klopt ook allemaal, de gewone thuisgebruiker die netjes achter een router werkt, zonder portforwarding, loopt ook nagenoeg geen risico op WanaCrypt0r.

Het zijn zo goed als allemaal organisaties die ergens een poort 445 open hebben naar een kwetsbaar systeem.

Honeypot is Windows met poort 445 forwarding en zonder MS17-010 patch.

Windows Server 2008? Zo ja R1 / R2?
14-05-2017, 17:34 door SecGuru_OTX
Door Anoniem:
Door SecGuru_OTX: Dat klopt ook allemaal, de gewone thuisgebruiker die netjes achter een router werkt, zonder portforwarding, loopt ook nagenoeg geen risico op WanaCrypt0r.

Het zijn zo goed als allemaal organisaties die ergens een poort 445 open hebben naar een kwetsbaar systeem.

Honeypot is Windows met poort 445 forwarding en zonder MS17-010 patch.

Windows Server 2008? Zo ja R1 / R2?

Sorry, te weinig geslapen dit weekend.

Windows 7 met SP1.
14-05-2017, 17:39 door SecGuru_OTX
Door Anoniem: Van NCSC:
Volgens eerste analyses komt de ransomware initieel via email binnen. Vervolgens verspreidt deze zich via een SMB kwetsbaarheid op het interne netwerk als een worm. Deze verspreidingsvorm zorgt ervoor dat de ransomware in vrij korte tijd binnen een bedrijf veel systemen kan infecteren.
Dat is niet alleen het meest aannemelijk maar ook de experts zeggen het: Het begint wel degelijk bij het openen van een e-mail. Op andere bekende manieren kan ook, maar ik denk dat per e-mail in de praktijk nog altijd de meest succesvolle manier is om in iemands lokale netwerk binnen te dringen.

Bullshit, dit zegt het NCSC al vanaf vrijdag zonder enige analyse.

Tot en met gistermiddag waren er ook nog geen succesvolle aanvallen in NL volgens het NCSC, terwijl deze vrijdag al in NL zijn waargenomen.

Ik vraag me uberhaupt af of ze al een analyse hebben gedaan.
14-05-2017, 18:00 door SecGuru_OTX
Bijgaand ook de aangepaste statement van Fox-IT. Fox-IT ging initieel ook uit van verspreiding via e-mail maar hebben dit inmiddels aangepast.

Uiteraard moet je altijd voorzichtig zijn met e-mail, maar verspreiding van de worm gaat NIET via e-mail. De worm is de distributie methode van de ransomware met de naam WanaCrypt0r, de worm is dus het alternatief op e-mail.

----------
Infection vector

One of the confirmed infection vectors is the usage of the ETERNALBLUE exploit directly on machines which have SMB directly exposed to the internet.

This chapter previously stated that we were in the process of verifying if phishing e-mails were also an infection vector for the WanaCry ransomware. Thus far Fox-IT has found no evidence that any phishing e-mails were related to this specific ransomware outbreak, and we have therefor removed the related indicators from this blog.
----------
14-05-2017, 18:16 door Anoniem
Door SecGuru_OTX: Bijgaand ook de aangepaste statement van Fox-IT. Fox-IT ging initieel ook uit van verspreiding via e-mail maar hebben dit inmiddels aangepast.

Uiteraard moet je altijd voorzichtig zijn met e-mail, maar verspreiding van de worm gaat NIET via e-mail. De worm is de distributie methode van de ransomware met de naam WanaCrypt0r, de worm is dus het alternatief op e-mail.

----------
Infection vector

One of the confirmed infection vectors is the usage of the ETERNALBLUE exploit directly on machines which have SMB directly exposed to the internet.

This chapter previously stated that we were in the process of verifying if phishing e-mails were also an infection vector for the WanaCry ransomware. Thus far Fox-IT has found no evidence that any phishing e-mails were related to this specific ransomware outbreak, and we have therefor removed the related indicators from this blog.
----------

Okee, duidelijk.
Ik zat net ook te lezen over de DOUBLEPULSAR backdoor (ook SMB)
Een uitgelekt NSA grapje waarmee malware kan worden opgehaald, en dat nu dus in handen is van cybercriminelen,
en waar in april al zeer veel computers mee waren besmet.

Denk je dat deze backdoor (ook) betrokken kan zijn bij het binnenhalen van de worm?

Even terzijde: hier komt dus wel om de hoek kijken hoe gevaarlijk het is dat overheden dit soort wapens ontwikkelen...
14-05-2017, 18:40 door [Account Verwijderd] - Bijgewerkt: 14-05-2017, 18:40
[Verwijderd]
14-05-2017, 18:53 door karma4
Door SecGuru_OTX: Bijgaand ook de aangepaste statement van Fox-IT. Fox-IT ging initieel ook uit van verspreiding via e-mail maar hebben dit inmiddels aangepast.
....
Je hebt mooi werk verzet zie ik SMB V1 (echt die oude.. van NT pre 2007) direct aan internet, email methode als verspreiding niet nodig. Ja er hoeft er maar één te zijn die het zo handig voor thuis koppeling vindt en daar ga je.

Laad je even op aub .... er zijn ook andere zaken. Komende week gaan we zien hoe de DR plannen in de praktijk werken. Te vaak gezien dat de oefening pas na de derde of vaker een keer lukten. Dat werd als succesvol afgehandeld ingeboekt. Nu is er maar de ene kans om het meteen goed te doen.
14-05-2017, 18:55 door Anoniem
Datum: 20 april 2017,
https://www.security.nl/posting/511785/Cybercriminelen+gebruiken+NSA-exploits+voor+aanvallen+servers:

Zo werd op verschillende servers de DoublePulsar-tool aangetroffen. De NSA zou deze tool gebruiken nadat het via een exploit toegang tot een server heeft gekregen. Daarnaast meldt beveiligingsbedrijf SenseCy dat er op dit moment een "trend" gaande is waarbij de gelekte NSA-exploits worden gebruikt voor het infecteren van Windowsservers met ransomware. De aanvallers zouden hierbij gebruik van een lek in Windows SMB-server maken dat Microsoft in maart patchte.

Dat is waarschijnlijk wat is uitgegroeid tot wat we heden (ca. 3 weken na dit bericht) zien gebeuren.
Wat we ook lezen is dat het om servers gaat.
Het is dan natuurlijk niet uitgesloten dat je PC wordt besmet door onopgemerkt zo een besmette server te bezoeken
als je PC nog kwetsbaar is.
14-05-2017, 19:13 door Anoniem
In Nederland hebben de meeste providers (standaard) 137-139 en 445 geblokkeerd en lopen de meeste mensen geen risico op een besmetting via die weg. MAAAAAAAR, ze kunnen nog wel besmet raken via een geinfecteerde mail natuurlijk.
14-05-2017, 19:31 door Anoniem
NoMoreRansom.org
https://www.nomoreransom.org/

The “No More Ransom” website is an initiative by the National High Tech Crime Unit of the Netherlands’ police, Europol’s European Cybercrime Centre and two cyber security companies – Kaspersky Lab and Intel Security – with the goal to help victims of ransomware retrieve their encrypted data without having to pay the criminals.
14-05-2017, 20:46 door SecGuru_OTX - Bijgewerkt: 14-05-2017, 20:47
Door Anoniem: In Nederland hebben de meeste providers (standaard) 137-139 en 445 geblokkeerd en lopen de meeste mensen geen risico op een besmetting via die weg. MAAAAAAAR, ze kunnen nog wel besmet raken via een geinfecteerde mail natuurlijk.

Klopt, als consument zou ik me om deze worm die gebruik maakt van de ETERNALBLUE kwetsbaarheid niet heel druk maken, zeker niet achter een router.

Echter, door deze drukte heb ik inmiddels wel een backlog van weer nieuwe Locky en Cerber varianten, deze komen wel via e-mail binnen.
14-05-2017, 20:59 door SecGuru_OTX
p.s. degene die zelf willen monitoren om te onderzoeken of de worm ook hun IP's scant:

Het gaat om port 445 en het lijkt er op dat de windows size altijd 8192 is.
14-05-2017, 21:14 door [Account Verwijderd] - Bijgewerkt: 14-05-2017, 21:14
[Verwijderd]
14-05-2017, 21:43 door SecGuru_OTX
Door Komsowalski: Er is een Tool verschenen op CCN-CERT om de uitvoer van #WannaCry 2.0 te stoppen. De machine mag nog niet geïnfecteerd zijn. Wel graag goed de tekst doorlezen. Het script moet men laten lopen elke keer als de machine is gestart.

Tool:
https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html

Link Twitter:
https://twitter.com/CCNCERT/status/863808206006607872

Gevonden via Europol op twitter:
https://twitter.com/EC3Europol/status/863492271911645184

Cool, thanks!
14-05-2017, 21:48 door SecGuru_OTX
Mooi, NCSC is ook beter gaan communiceren over WanaCrypt0r, complimenten hiervoor!

https://www.ncsc.nl/actueel/nieuwsberichten/toename-van-pogingen-tot-ransomware-infecties.html

Nu geven ze aan "Het blijft verstandig om geen onbekende bestanden of links uit onbekende emails te openen.", en daar hebben ze uiteraard 100% gelijk in.
14-05-2017, 22:38 door Anoniem
7 GOUDEN REGELS:

1. Maak backups in de cloud en op fysieke media. Maak van erg belangrijke bestanden (die niet gemakkelijk opnieuw zouden kunnen worden gemaakt als het noodlot toeslaat) onmiddellijk een backup.
2. Enable "show file extensions" in je windows instelingen, en blijf af van .exe, .vbs of .scr -bestanden.
3. Haal meteen je computer van het netwerk als hij zich vreemd gedraagd. (netwerkstekker afkoppelen)
4. Pas op met openen van bijlagen in e-mail. Vooral als de afzender onbekend is. Zie ook punt 2.
5. Gebruik een goed ingestelde betrouwbare Firewall of Firewall software (zet niet meer open dan strikt nodig is)
6. Gebruik een betrouwbare antivirus software
7. Houd alle software en firmware op computer, peripherals en netwerkapparatuur up-to-date.
15-05-2017, 09:58 door Anoniem
Stel ik heb de 17-010 patch niet geïnstalleerd, maar wel Windows Defender volledig conform de laatste definities geupdate,

In welke mate ben ik dan toch nog kwetsbaar? Het gaat vooral over het patchen, maar lees weinig terug over de rol van Defender (of een andere anti virus oplossing)
15-05-2017, 10:53 door SecGuru_OTX
Door Anoniem: Stel ik heb de 17-010 patch niet geïnstalleerd, maar wel Windows Defender volledig conform de laatste definities geupdate,

In welke mate ben ik dan toch nog kwetsbaar? Het gaat vooral over het patchen, maar lees weinig terug over de rol van Defender (of een andere anti virus oplossing)

Goede vraag!

Voor de worm blijf je kwetsbaar, voor WanaCypt0r niet meer. Maar indien men een nieuwe variant van WanaCrypt0r en/of nieuwe ransomware gaat gebruiken ben je weer kwetsbaar.

Anti-Exploit producten zijn wel redelijk goed in staat om de worm te stoppen.
15-05-2017, 11:06 door Anoniem
De patch beschermd alleen tegen het binnenlaten via SMB poort, niet het openen en uitvoeren van de malware in je email. Dat kan nog steeds maar als jij als simpele user werkt zonder admin rechten en beveilings software gebruikt is de kans op succesvolle uitvoer klein.

Echter zou je de patch niet hebben geinstalleerd dan heb je weer kans dat wanneer uitgevoerd wordt vanuit userspace toch via de backdoor root rechten kan verkrijgen en daar zit het verschil denk ik.
15-05-2017, 11:22 door Dick99999 - Bijgewerkt: 15-05-2017, 11:23
Door Anoniem: 7 GOUDEN REGELS:

1. Maak backups in de cloud en op fysieke media. Maak van erg belangrijke bestanden (die niet gemakkelijk opnieuw zouden kunnen worden gemaakt als het noodlot toeslaat) onmiddellijk een backup.
[...........]
Wordt de (hele) backup niet geïnfecteerd als het virus actief is? Zo ja, is dan een gouden regel dat je verschillende backup media gebruikt in de loop van dagen of de cloud gebruikt?
15-05-2017, 11:26 door [Account Verwijderd]
[Verwijderd]
15-05-2017, 12:04 door [Account Verwijderd]
Via TTP mailinglist heb ik het volgende script voorbij zien komen van Alex Warmerdam:
===================================

Hi,

Just to have it stopped before anything can do it's work:
In powershell and leave powershell open:
https://gist.github.com/N3mes1s/afda0da98f6a0c63ec4a3d296d399636

$createdNew = $False;
$mutex = New-Object -TypeName System.Threading.Mutex($true, "MsWinZonesCacheCounterMutexA", [ref]$createdNew);

It blocks the process that encrypts.


Met vriendelijke groet,
With kind regards,
Mit freundlichem Gruß,


Alex Warmerdam
15-05-2017, 12:33 door Anoniem
Ik gebruik al enige tijd Anti Ransomware van Cybereason die hem actief tegen kan houden.
15-05-2017, 12:36 door SecGuru_OTX
Even iets heel anders, ik begin me sterk af te vragen wat erger is:

A. deze cyberaanval
B de marketing aanval van alle beveiligingsbedrijven/leveranciers?

Compleet volle mailbox met statements dat ze de beste bescherming kunnen aanbieden, via alle kanalen pogingen tot telefonisch contact, etc, etc.
15-05-2017, 14:27 door Anoniem
Wordt de (hele) backup niet geïnfecteerd als het virus actief is? Zo ja, is dan een gouden regel dat je verschillende backup media gebruikt in de loop van dagen of de cloud gebruikt?
Als er een virus actief is, is het de bedoeling dat je dit al merkt bij gebruik van de eerste backup.
En dus ga je eerst alles echt weer 100% virusvrij maken totdat je de tweede backup erbij gaat halen. (waarmee je dan ook de eerste backup herstelt als deze beschadigd zou zijn)

Mijn fysieke backup medium is trouwens hoofdzakelijk DVD+R, en daar heb ik geen spijt van. Het moet wel heel raar gaan als virussen daar nog vat op krijgen wanneer ze eenmaal virusvrij en malwarevrij zijn gebrand en afgesloten.
In de donkere archiefkast waar ze worden bewaard is na meer dan 10 jaar niet of nauwelijks degradatie te bekenen.
(ik scan na het branden nl. meestal even of de bestanden goed zijn gebrand met zo'n utility waarvan ik de naam vergeten ben, en die informatie bewaar ik ook). De quality score zit meestal boven de 90% en dat is na meer dan 10 jaar nog zo.
Ben alleen wel met mijn derde DVD-brander bezig, die het overigens bijzonder lang uithoudt deze keer.
(> 5 jaar, >200 gebrand (en niet alleen backup schijven))
15-05-2017, 15:33 door karma4
Door SecGuru_OTX: Even iets heel anders, ik begin me sterk af te vragen wat erger is:

A. deze cyberaanval
B de marketing aanval van alle beveiligingsbedrijven/leveranciers?

Compleet volle mailbox met statements dat ze de beste bescherming kunnen aanbieden, via alle kanalen pogingen tot telefonisch contact, etc, etc.
Ik ga voor keus B
16-05-2017, 12:58 door [Account Verwijderd] - Bijgewerkt: 16-05-2017, 13:06
[Verwijderd]
16-05-2017, 14:10 door SecGuru_OTX
Tenzij je je systemen nog steeds niet hebt voorzien van de updates, en je nog steeds zo stom bent om SMB vanaf het Internet toe te staan, zou ik me persoonlijk niet meer zo druk maken om WanaCrypt0r.

Er is momenteel een grote distributie van Jaff Ransomware.

Nu via e-mail, PDF met DOCM met VBA, lage detectie score, bijgaand de publieke analyse:

https://www.hybrid-analysis.com/sample/feef75e47befcd8311e48892db918f6a95c02d43aa808e7cd01659d8f342f75f?environmentId=100

Filehash(SHA256):
aca726cb504599206e66823ff2863eb80c6a5f16ff71ca9fcdd907ad39b2d852

https://virustotal.com/nl/file/aca726cb504599206e66823ff2863eb80c6a5f16ff71ca9fcdd907ad39b2d852/analysis/
16-05-2017, 15:31 door Briolet - Bijgewerkt: 16-05-2017, 15:33
Door Komsowalski: Op de website DShield zijn de IP-adressen gepubliceerd die gerelateerd zijn aan #WannaCry.

Een heel groot deel van de besmetting is via het TOR netwerk gebeurd. Dat mis ik in deze analyse. Van de eerste 12 adressen zijn er 7 TOR exit nodes. 5 ook weer niet.

Het is sowieso verstandig om anoniem verkeer via TOR te mijden en alle exit point in je firewall op te nemen. Het TOR netwerk is geliefd bij hackers.
17-05-2017, 13:06 door Anoniem
Het is sowieso verstandig om anoniem verkeer via TOR te mijden en alle exit point in je firewall op te nemen. Het TOR netwerk is geliefd bij hackers.
Tails???......
18-05-2017, 11:17 door Anoniem
Gisteren een Shodan scan gedaan over poort 445.
De wereld heeft nog steeds niets geleerd van WannaCry.

Methode die nu nog als 'security' gebruikt wordt? Deze hier:
https://regmedia.co.uk/2016/07/31/mickey_mouse_action_figure_facepalm_shutterstock.jpg?x=648&y=348&crop=1
21-05-2017, 19:47 door Anoniem
Of deze(!):
https://ejbron.files.wordpress.com/2014/02/screenshot_913.png?w=640 ;>)


Maar zonder gekheid: hier vind je een goede uitleg over hoe de code in elkaar steekt:
https://techtalk.pcpitstop.com/2017/05/16/wanacrypt0r-dive-code/

Merk op hoe kwetsbaar de zgn "kill switch" is.
Een volgende versie zou met een kleine wijziging in de code juist kunnen dóórlopen als die "killswitch url" bestaat.
Of de killswitch zou er helemaal uitgehaald kunnen worden.

De "killswitch" is in deze versie daarbij zó gemakkelijk te vinden,
dat hij haast wel bedoeld lijkt om gevonden te worden door security experts.
Je zou die killswitch daarom ook best "safety switch" kunnen noemen.
Omdat het immers helpt voorkomen dat het echt compleet helemaal uit de hand loopt. (als het zover zou komen)
22-05-2017, 11:39 door [Account Verwijderd] - Bijgewerkt: 22-05-2017, 11:51
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.