lunes, 15 de mayo de 2017

El WANNA CRYPT paRTE 1: Protocolo usado para diseminación en red, Explicacion y uso


Buenos días VIETNAMMMMMM, este manual será de 5 partes para explicar todo lo referente en forma técnica del RANSOMWARE WANNACRYPT  que ataco en estos días a muchas empresas.

Este fin de semana ha sido muy ajetreada la escena de la informática por el nuevo RANSOMWARE que apareció y que aprovecha una vulnerabilidad de Microsoft WINDOWS  SMB anunciada hace 2 meses y que los creadores de este SO. habían ya publicado un parche para componer ese protocolo y nadie o muy pocos habíamos bajado y parcheado nuestros sistemas para evitar la dispersión de este RANSOMWARE en la red, ya sea por motivos de que no les gusta actualizar sus windows o es tediosa pero de todos modos por no hacerlo muchas empresas se los agarraron con las manos en los calzones y no pudieron reaccionar a tiempo para evitar ese desastre.

Pero antes de continuar con la problemática que desde hace años tenemos, explicaré en que consiste y a que se dedica  este protocolo.


 PROTOCOLO SMB 

Este pertenece a Microsoft y se llama Server Message Block y que desde ahora llamaremos (SMB), este es un protocolo de red que permite compartir archivos, carpetas, impresoras,puertos seriales y muchas cosas mas entre las computadoras de la red que usan el famoso y bien ponderado, aun que a veces no tanto :p el sistema operativo Microsoft Windows, este protocolo hasta donde recuerdo va en su versión   SMB V 3.0  y que fue puesto en Windows Vista  y ha sufrido muchísimos cambios en su arquitectura en Windows 7.
 

También es importante comentar que este es un protocolo de capa de aplicación, y en una implementación típica, se comunica a través del puerto TCP 445. y se hiso popular rápidamente ya que permite una mayor flexibilidad en conexión  y configuración en comparación con protocolos comparables como File Transfer Protocolo (FTP) que muchos de nosotros usamos para la descarga y subida de datos a nuestros servidores WEB, recordando que también existe el protocolo Extended File Transfer Protocol (XFTP), pero de estos el FTP y XFTP  hablaremos en otra ocasión.



En el año de 1998  este cambio su nombre  a Common Internet File System (CIFS) y su estructura interna de uso y manejo de archivos se mejoró al añadir el soporte para todo tipo de Links,  además, se configuró para que soportara archivos de tamaño mas grande y los servicios de impresión y el SMB para compartir archivos se transformaron en el pilar de las redes de Microsoft, pero con el inicio de Win2k  este cambio su estructura y se uso mas continuamente, recordando que los servicios de SMB utilizaron un protocolo que no es TCP/IP para implementar la resolución de nombres de dominio, después de eso se uso el protocolo DNS Domain Name system, con este cambio lo que se logró fue que el TCP/IP pudiera admitir la compartición de datos directamente con el SMB.


Asignación directa de hosts de SMB a través de TCP/IP

Muchos se preguntarán como funciona este protocolo de una forma mas técnica, bueno pues daré un resumen básico.

Windows admite el tráfico para compartir archivos e impresoras mediante el protocolo Bloque de mensajes de servidor (SMB, Server Message Block) que se hospeda directamente en TCP. Esto es diferente en los sistemas operativos anteriores, en los que el tráfico SMB requiere el protocolo NetBIOS sobre TCP (NBT) para funcionar en un transporte TCP/IP. Al quitar el transporte NetBIOS, se logran varias ventajas, pero la principal es:

  • Simplificar el transporte del tráfico SMB. 
  • Quitar la difusión de WINS y NetBIOS como medio para la resolución de nombres. 
  • Normalizar la resolución de nombres en DNS para el uso compartido de archivos e impresoras. 
Cabe señalar que si están activadas la interfaz NBT como la de asignación directa de host, se prueban ambos métodos al mismo tiempo y se utiliza el primero que responde. Esto permite que Windows funcione de forma correcta con los sistemas operativos que no permiten la asignación directa de host para el tráfico SMB. 
 
Más información NetBIOS sobre TCP utiliza generalmente los puertos siguientes:

nbname 137/UDP
nbname 137/UDP
nbdatagram 138/UDP
nbsession 139/TCP


El tráfico SMB sin NetBIOS que usa asignación directa de host utiliza como comentamos en lineas anteriores usa el puerto 445 (TCP y UDP), de esta forma, la cabezera es de 4 bytes que precede el SMB, donde el primer byte como lo dice Microsoft siempre será  0x00 y los tres bytes restantes o siguientes son el espacio de longitud de los datos restantes.

HABLANDO SOBRE EL RANSOMWARE WANNA CRYPT Y EL SMB

Con esta explicación que dimos breve del PROTOCOLO SMB nos podemos dar cuenta que este RANSOMWARE lo usaba para conpartirse en la red, osea una vez infectada la computadora base, con técnicas de gusano se extiende por toda la red usando la vulnerabilidad en la CVE que dejo en la imagen:
 .
 
LO EXTRAÑO Y RARO AMIGOS.
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Si amigos digo esto por que cabe señalar que ya existía desde hace mas de 1 mes un parche para este protocolo exactamente hecho y distribuido en un boletín por Microsoft el 14 de Marzo del 2017  

 Security Update for Microsoft Windows SMB Server (4013389)



 Donde comentan que es una vulnerabilidad del tipo CRÍTICO y que en su forma mas severa se puede llevar a acabo la llamada:   REMOTE CODE EXECUTION   y que en siguientes lineas veremos un ejemplo de esta vulnerabilidad:

Normalmente esta técnica de ataque una vez que es encontrada en un protocolo o servicio nos permitirá inyectar comandos o instrucciones remotamente al sistema afectado, este problema se da por un mal filtrado de variables y que se le puede inyectar funciones que permiten también ejecutar comandos en el Sistema operativo como:


system()
passthru()
shell_exec()
exec()
ssh2_exec()


Cabe señalar que muchos sistemas se encargan de interactuar con los datos del usuario y en este caso el SMB protolo de red y compartición de datos pues ahí esta el detalle, este era el que se usaba para esparcir este virus por al red.

Por ejemplo comandos como WHOIS o el famoso PING y por que no mencionar al NSLOOKUP que muchos de nosotros lo hemos usado este ultimo comando para hacer el ataque AXFR.

PERO SIGAMOS ADELANTE Y YA DESPUÉS EN OTRO ARTICULO EXPLICARÉ ESTE ATAQUE. ;P


 Por eso amigos es la peligrosidad y la taza muy grande de infección de este RANSOMWARE por sus características de VIRUS GUSANO donde usando el RCE (Remote Code Execution) y LA TÉCNICA DE GUSANO aplicada al SMB PROTOCOL era su taza de infección alta se replicaba en la red facilmente.

--------------pero que es la técnica gusano?----------------------

Es una técnica facinante  ya que los virus realizan copias de si mismos, alojándolas en diferentes lugares del sistema infectado y  normalmente el objetivo de este es colapsar o tratar de replicarse lo mas posible para hacer daño y este es el exito de este  RANSOMWARE WANNA CRYPT, usando estas técnicas pero aplicándolas al  PROTOCOLO SMB vulnerable.
-----------------------------------

Y EN LINUX EXISTE ESE PROTOCOLO?



La respuesta amigos es !si! pero con una condición súper importante que solo puedes usarlo con SAMBA, si usas este también los archivos de Linux de tu sesión me comentaron unos amigos que hicieron el analisis se infectaron, ya en breve daremos en la parte 3 sobre Linux la infección, tenemos que ver bien los detalles.




aclarando para finalizar el artículo.

Entonces amigos este RANSOMWARE NO HUBIERA SIDO tan peligroso si se hubiera tenido parchado el SMB desde hace mas  de 2 meses que salio el parche, UP´S HASTA AL MEJOR CAZADOR SE LE VA LA LIEBRE.

solo sería como cualquier otro RANSOMWARE.
 
 Pero como dice mi abuelita no existe el HUBIERA jajajajajajjaja.     

pero nimodo se los trabaron por no actualizar o mínimo no hubiera sido toda la red infectada.

 Este fue el punto que los creadores de este RANSOMWARE TOMARON  que la gente no actualiza, como lo dijo mi amigo en facebook y bien dicho.




 BUEN0 AMIGOS ESTO ES TODO POR LA PARTE N. 1  y mañana sacaré la  PARTE NO 2  donde daré detalles del RANSOMWARE WANNA CRYPT que hice  en CÓDIGO MUERTO,  SIN USAR SANDBOX o MAQUINAS VIRTUALES A LO PELON  :P  Y no como la mayoría usa SANDBOX. 



Comentarios?      Sugerencias? 

LI. Rodolfo H. Baz
www.ccat.edu.mx
www.rodolfohbaz.net

 

No hay comentarios:

Publicar un comentario

Crowdstrike -> Solución de errores de actualización de CrowdStrike con BitLocker habilitado

En este pequeño articulo ver como componer el problema de CROWDSTRIKE cuando esta habilitado el BITLOCKER, cabe resaltar que puede ser una e...