Alerta nº 07/2017 – Ataques de Ransomware Bad Rabbit

Descrição do Problema

Recebemos relatórios de infecções de ransomware, conhecidos como Bad Rabbit, em alguns países. Aparentando ser variante de Petya, Bad Rabbit é um software malicioso ransomware que infecta um computador e restringe o acesso do usuário à máquina infectada até que um resgate seja pago para desbloqueá-lo.

Sempre desencorajamos o pagamento do resgate, pois não garante a restauração do acesso. O uso de software sem as atualizações de segurança e sem suporte aumenta o risco de proliferação de ameaças, como ataques de ransomware à segurança da informação.

O CTIR Gov RECOMENDA a revisão de seus alertas nº 02/2016 – Ataques de Ransomware através de campanhas de Phishing, nº 02/2017 – Ataques de Ransomware Wanna Decryptor, e nº 04/2017 – Ataques de Ransomware Petrwrap/Petya, disponíveis em www.ctir.gov.br, e que descrevem os recentes eventos de ransomware.

Notifique os incidentes do Ransomware no endereço ctir@ctir.gov.br. O CTIR Gov fornecerá informações atualizadas à medida que elas se tornem disponíveis.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.

Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de
métodos online, tipo “Bitcoins”.

Métodos de Ataques

Com base em análises realizadas, o Bad Rabbit se espalha para outros computadores na rede, tirando cópias de si mesmo na rede usando seu nome original e executando as cópias descartadas usando o Windows Management Instrumentation (WMI) e o Service Control Manager Remote Protocol. Quando o protocolo remoto do Service Control Manager é usado, ele usa ataques de força bruta para levantamento das credenciais.

Entre as ferramentas Bad Rabbit incorporadas, se encontra o utilitário de código aberto Mimikatz, para a extração de credenciais. Também existem evidências dele usando o DiskCryptor, uma ferramenta legítima de criptografia de disco, para criptografar os sistemas de destino.

É importante notar que Bad Rabbit não explora quaisquer vulnerabilidades, ao contrário de Petya que usou o EternalBlue como parte de sua rotina.

Sugestões para Mitigação do Problema

  • Mesmo não sendo comprovado o uso de vulnerabilidades, até o momento, mantenha seus sistemas atualizados para a versão mais recente ou aplique os patch conforme orientação do fabricante.
  • Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
  • Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
  • Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
  • Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
  • Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de e-mail atualizados;
  • Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e 
  • Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Referências

  • http://dsic.planalto.gov.br/legislacao/RequisitosMnimosSIparaAPF.pdf/view
  • http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf
  • http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_02_RansomwareWNCRY.pdf
  • http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_04_RansomwarePetrwrap.pdf
  • http://blog.trendmicro.com/trendlabs-security-intelligence/bad-rabbit-ransomware-spreadsvia-network-hits-ukraine-russia/
  • https://www.us-cert.gov/ncas/current-activity/2017/10/24/Multiple-Ransomware-InfectionsReported

 

Fonte

Alerta nº 06/2017 – Vulnerabilidade WPA2 KRACK

Descrição do Problema

Foi encontrada uma vulnerabilidade no protocolo WPA2. Esta vulnerabilidade foi descoberta pelos pesquisadores Mathy Vanhoef of imec-DistriNet, da Universidade Católica de Leuven, Belgica.

Quando um cliente se conecta a uma rede WI-FI um aperto de mão (handshake) é feito para verificar se o dispositivo tem a senha correta. Além disso, o cliente recebe uma chave criptográfica que é utilizada para proteger qualquer dado subsequente. A falha permite que o atacante resete essa chave e, com isso, descriptografe todo o tráfego da vítima. 

Métodos de Ataques

Quando um cliente se conecta a uma rede, ele executa a negociação chamada 4-way handshake para negociar uma nova chave de sessão. Ele instala essa chave após receber a mensagem 3 do handshake. Uma vez que a chave esteja instalada, ela será usada para criptografar quadros de dados usando um protocolo de confidencialidade. No entanto, como as mensagens podem ser perdidas ou descartadas, o ponto de acesso (AP) retransmitirá a mensagem 3 se não receber uma resposta adequada como confirmação. Como resultado, o cliente pode receber a mensagem 3 várias vezes. Cada vez que recebe esta mensagem, ela reinstalará a mesma chave de sessão e recebe o número de pacote de transmissão incremental (nonce) e recebe o contador de repetição usado pelo protocolo de confidencialidade de dados.

Para a realização do ataque, ou seja, para forçar o reenvio da mensagem 3 do 4-way handshake, um atacante precisa realizar um ataque de man-in-the-minddle (MitM) de forma a se posicionar entre o cliente e o AP. A partir de então, os pacotes podem ser repetidos, descriptografados e / ou forjados. A mesma técnica também pode ser usada para atacar a chave de grupo, PeerKey, TDLS e BSS.

Sistemas afetados

As implementações do iOS (Apple) e da Microsoft, não permitem a retransmissão da mensagem 3, o que vai contra a especificação do protocolo mas acaba livrando os dispositivos destes fabricantes de parte das vulnerabilidades encontradas. Já a implementação do Linux e do Android 6.0 ou superior é bastante afetada.

Sugestões para Mitigação do Problema

  • Mantenha os sistemas atualizados para a versão mais recente ou aplique os patch conforme orientação do fabricante. As principais empresas de sistemas operacionais, smartphones, roteadores já estão desenvolvendo patch para correção da falha;
  • Efetue autenticação em conexões seguras (HTTPS, por exemplo);
  • Utilize uma VPN;
  • Considere estabelecer o modo “Rede Pública” em conexões wi-fi;
  • Por fim, realize campanhas internas, alertando os usuários sobre esta publicação.

Referências

  • http://dsic.planalto.gov.br/legislacao/RequisitosMnimosSIparaAPF.pdf/view
  • https://www.kb.cert.org/vuls/id/228519/
  • https://cwe.mitre.org/data/definitions/323.html
  • https://papers.mathyvanhoef.com/ccs2017.pdf
  • https://www.krackattacks.com/
  • https://morphuslabs.com/sobre-o-wpa2-krack-attack-b999efccb106
  • https://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2012_2/80211i/funcionamento.html

 

Fonte

Alerta nº 04/2017 – Ataques de Ransomware Petrwrap/Petya

Descrição do Problema

Temos recebido dos órgãos e de nossos colaboradores, alertas sobre ataques de Ransomware Petwrap/Petya, tendo como alvo o Leste da Europa, Rússia, Ucrânia, França, Espanha e Holanda. Esta variação de Ransomware é conhecida por Petrwrap/Petya.
O atacante explora as mesmas vulnerabilidades do Ransonware Wanacry, vulnerabilidades do Microsoft Server Message Block 1.0 (SMBv1), alertado no Boletim MS17-010 da Microsoft, ou através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP), bloqueando o acesso aos arquivos e cobrando o “resgate” em bitcoins.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.
Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de métodos online, tipo “Bitcoins”.

Métodos de Ataques

Petwrap/Petya atua de forma um pouco diferente, em vez de criptografar arquivos individualmente, nega o acesso ao sistema atacando estruturas de baixo nível no disco, criando seu próprio Kernel com 32 setores.
O Ransomware atua no Master Boot Record (MBR) carregando o Kernel malicioso e criptografando o Master File Table (MFT) tornando o sistema inacessível.
Análise do arquivo petwrap.exe:  (https://www.hybridanalysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?envir
onmentId=100).

Recomendações

Manter os sistemas atualizados para a versão mais recente ou aplicar os patch conforme orientação do fabricante.
Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de email atualizados;
Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e
Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Sugestões para Mitigação do Problema

  • Isolar a rede infectada e aplicar o patch conforme Bolentim MS17-010 da Microsoft – Crítico;
  • Bloquear as portas UDP 137, 138 e TCP 139, 445 até solucionar o problema;
  • A recuperação dos arquivos infectados é quase impossível, sem a chave de encriptação, devido ao tipo de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar a perda de dados; e
  • Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes.

Referências:

https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-RansomwareInfections-Reported.
http://thehackernews.com/2017/06/petya-ransomware-attack.html?m=1
http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/
https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html
http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-deransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
https://www.us-cert.gov/ncas/alerts/TA16-091A
https://www.us-cert.gov/ncas/alerts/TA17-132A#revisions
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Fonte

Alerta n° 02/2017 – Ataques de Ransomware Wanna Decryptor

Descrição do Problema

Temos recebido dos órgãos e de nossos colaboradores, Alertas sobre ataques de Ransomware tendo como alvo os domínios do governo brasileiro. Esta variação de Ransomware é conhecida por Wanna Decryptor, WannaCry, WCry, WanaCrypt ou WanaCrypt0r. O atacante explora vulnerabilidades do Microsoft Server Message Block 1.0 (SMBv1), alertado no Boletim MS17-010 da Microsoft, ou através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP), bloqueando o acesso aos arquivos e cobrando o “resgate” em bitcoins.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão. Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de métodos online, tipo “Bitcoins”.

Métodos de Ataques

O Ransomware Wanna Decryptor explora a mais severa das vulnerabilidades informada através do Bolentim MS17-010 da Microsoft, permitindo ao atacante a execução remota de código através de envio de mensagens especialmente criadas para um servidor Microsoft Server Message Block 1.0 (SMBv1), ou através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP). O Atacante envia um loader contendo uma dll criptografada em algorítimo AES e chave de 128bits, sendo indetectável até então, aos anti-virus. Durante a execução um arquivo copiado no disco pelo malware se encarrega de descriptografar a dll enviada, que por sua vez, começa a criptografar os arquivos alvos. O Ransomware Wanna Decryptor também tenta utilizar informações sobre compartilhamentos ativos disponíveis na IPC$ (Inter Process Communication), para poder se propagar na rede através do protocolo SMBv1 (Server Message Block 1.0), infectando todos os sistemas vulneráveis. Os arquivos infectados passam a ter as seguintes extensões: .wnry, .wcry, .wncry e .wncrypt. Sendo necessária uma chave de 128bits-AES para restaurar os arquivos alvos. Análise do arquivo wannacry.exe (https://www.hybridanalysis.com/sample/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa?enviro nmentId=100)

Recomendações

  • Manter os sistemas atualizados para a versão mais recente ou aplicar os patch conforme orientação do fabricante.
  • Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
  • Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
  • Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
  • Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
  • Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de email atualizados;
  • Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e
  • Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Sugestões para Mitigação do Problema

  • Isolar a rede infectada e aplicar o patch conforme Bolentim MS17-010 da Microsoft – Crítico;
  • Bloquear as portas UDP 137, 138 e TCP 139, 445 até solucionar o problema;
  • Alguns usuários identificaram arquivos @Please_Read_Me@.txt ou com a extensão .WNCY;
  • A recuperação dos arquivos infectados é quase impossível, sem a chave de encriptação, devido ao tipo de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar a perda de dados; e
  • Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes.

Fonte

Alerta nº 01/2017 – Sequestro de contas de gerenciamento de domínio cadastradas no Registro.br

Descrição do Problema

Ações maliciosas para obtenção de acesso às contas de gerenciamento de domínio e alteração da configuração dos servidores DNS, direcionando os usuários para páginas fraudulentas.

Ameaças

Foram confirmados vários casos de sucesso desse tipo de ataque contra órgãos de governo e grandes empresas, os quais tiveram como consequência a alteração dos Servidores DNS daqueles domínios, com o consequente direcionamento dos acessos para páginas fraudulentas. Essas páginas podem conter códigos maliciosos que podem comprometer a máquina do usuário e até mesmo a rede de computadores da organização, por meio de download de malwares, exploração de vulnerabilidades nos aplicativos instalados no computador e nos equipamentos da rede de computadores da organização, afetando a segurança e a imagem de toda a instituição.

Métodos de Ataques

Os atacantes podem se utilizar de mensagens fraudulentas (Phishing Message) para obter as credenciais de administração do domínio, conforme exemplo a seguir:

———————————————————

Segurança Registro Br

Prezado Cliente, Sou Hugo Pedroso Trabalho na Area de Manutenção da Registro.BR, e Notei que sua conta precisa de uma atualização na questão De endereço

Faça o Login no site: http://2XX.XX.XXX.XXX/registrobr/

Preencha os Campos, Caso Ao contrario Sua conta Será Suspensa Por Motivos De Segurança, e todos os dominios ficaram forá do Ar.

Duvidas, Responda o Email

———————————————————-

Há também diversos relatos de comprometimento da conta de correio eletrônico do administrador, cadastrada como conta de recuperação de senha no sistema de registro. De posse dessa conta, o atacante solicita a recuperação da senha, através das opções do tipo “Esqueci minha senha”, e consegue acesso ao Sistema de Registro.

Sugestões para Mitigação Problema

O Registro.br dispõe, desde março de 2013, da opção de autenticação por duplo fator, ou seja, um segundo controle de acesso aos recursos administrados por cada ID no Registro.br, conhecido também como “Verificação em Duas Etapas”. Tal opção gera o recurso de Token do Registro.br e permite aos usuários aumentar a segurança de suas contas utilizando, além de suas senhas, um código de segurança. O recurso de Token é o resultado do uso de uma aplicação que implementa autenticação em dois passos, do armazenamento de uma chave secreta num dispositivo portátil que é usado para geração de sequências numéricas variando a cada 30s (também denominado “código temporal”) e da geração de um conjunto pré-informado de sequências numéricas que só se pode utilizar uma vez (“códigos de uso único”). A utilização do Token pode ser feita através dos aplicativos: Google Authenticator (Android ou iOS) ou Authenticator (Windows Phone). Estes aplicativos serão os responsáveis pela geração dos códigos temporários requeridos na autenticação. Os códigos de uso único deverão ser usados sempre que não tiver acesso ao seu dispositivo móvel. O Registro.br recomenda que esses códigos sejam impressos e/ou guardados de maneira segura. No entanto, ressaltamos que o serviço Token do Registro.br é optativo, sendo necessário ativá-lo seguindo as etapas descritas no sítio do Registro.br. Deste modo, recomendamos firmemente que todos os admistradores de domínios dos órgãos e Entidades da Administração Pública, adotem a autenticação por duplo fator para gerenciar suas contas junto ao Registro.br. Lembramos que o uso de senha forte continua sendo necessário. Recomendamos ainda, a leitura do Fascículo especial da Cartilha de Segurança para Internet, confeccionado pela equipe do CERT.br, dedicado ao recurso de proteção no acesso a uma conta, conforme referências abaixo. Por fim, reforçamos que incidentes de segurança que envolvam a gestão de domínios da Administração Pública Federal devem ser comunicados imediatamente ao Registro.br pelo endereço hostmaster@registro.br, com cópias para cert@cert.br e para ctir@ctir.gov.br e exclusivamente para os casos de comprometimento de contas no sistema do registro, contactar o Registro.br (NOC 7×24) pelo telefone 11-5509-3510.

Fonte