martes, 16 de mayo de 2017

Ransomware WANNA CRY - Parte 2: Desde WIndows - Como detectar si tu PC es vulnerable a infeccion en red



Otro día mas con el famosos y bien ponderado RANSOMWARE  llamado WANNA CRY, dejenme decirles que ya hasta me estoy encariñando con el, que hasta me dan ganas de llorar de sentimiento:


Me imagino que se preguntaran y por que de sentimiento?, bueno pues es que este virus en todos lados hablan de el, en las noticias lo ponen casi casi tan peligroso como el ebola, o como la fiebre de las aves el H1N1  y que según ahora hasta ya esta mutando... queeeeee MUTANDO?     a jijo,  que yo tenga entendido a las cepas principales de este virus informático NUNCA LE PUSIERON CÓDIGO POLIMORFICO O DE MUTACIÓN, BUENO la muestra que tengo no tiene esa parte que comento. 

A RESERVA DE QUE YA ALGÚN OTRO MALANDROSO HAYA MODIFICADO EL CÓDIGO FUENTE Y APROVECHÓ PARA HACERLO MAS POTENTE y quito el dominio de candado que aparece en el código del RANSOMWARE para hacerlo mas peligroso.

IMAGINEN EL ESCENARIO SI ALGUIEN LE METE ESA PARTE DE CÓDIGO, ufff amigos se destramparía mucho mas el escenario,  algo así como paso ya hace muchos años con el famoso y bien ponderado VIRUS NATAS (SATAN)  que fue descubierto en los años 1994   que me toco desensamblarlo y analizarlo en formato hexadecimal y ASM cuando muchos de ustedes todavía ni nacían o eran bebes y se quedaban dormidos en su periquera comiendo y que este virus infecto a el 90% de computadoras en México donde fue su prevalencia y tenia las siguientes características.


VIRUS NATAS  virus polimórfico con sistema de ocultación multipartita y que fue creado por aka PRiest y que al ser ejecutado se volvía residente en memoria y aparte infectaba el registro maestro de WINDOWS y se replicaba en todos los .com .exe.   upś fue un dolor en el chirriscuis ese virus como olvidarlo.

Todavia peor hubo 4 variantes mas de ese virus,  y por que explico esto?  pues para contestar esa noticia que de ahora el WANNA CRY MUTO.


Pero realmente si es que existe una variante, NO MUTO,  alguien lo modifico para que aprovechara algún puerto, protocolo o servicio para hacer mas daño, esperemos poder obtener una muestra de esa variante para analizarla.  SI LA TIENEN PASENMELA POR FAVOR.


 Bueno regresando al tema principal de este artículo de ver si nuestro sistema es vulnerable a poder ser infectado vía red, empezaremos a explicar paso a paso y sencillos, como  vemos si nos podemos infectar.

*NOTA  Cabe señalar que este proceso de verificación solo es para saber si somos vulnerables a infecciones vía red, ya que a infecciones directas no hay nada todavía que lo evite, solo no andar dando click en todos lados y dejando de ver paginas porno que ahí es donde mas se encuentran esas infecciones de virus.



EMPEZANDO LA VERIFICACIÓN SI SOMOS VULNERABLES EN UNA PC y en todas las computadoras de esa red.

Primeramente reinicio en Windows: 
 


Este ejemplo lo estoy haciendo EN SITIO, osea en una empresa que fue afectada las mas de 755 computadoras y que me pidieron apoyarlos a eliminarlo sin pagar un solo peso, bueno solo pagándome mis honorarios. ;p.

Para esta demostración usaremos un sistema operativo con las siguientes características:

Como primer paso bajarremos el NMAP y lo instalaremos en nuestro sistema vamos al link:

https://nmap.org/download.html#windows

y descargamos:  Latest stable command-line zipfile: nmap-7.40-win32.zip 

Una vez descargado en mi caso lo copiare en la raíz del Disco Duro para facilidad de acceso.
  


Una vez ahí abriremos  la url siguiente de donde bajaremos unos scripts especiales para la detección de estas vulnerabilidades que son usadas por el RANSOMWARE y que instalaremos en NMAP.

https://github.com/cldrn/nmap-nse-scripts/tree/master/scripts

y bajaremos específicamente los scripts de la imagen:


De ahí los copiaremos al folder llamado SCRIPTS del NMAp que descargamos y como podrán ver en el NMAP NO ESTA EL DE LA NUEVA VULNERABILIDAD.






Una vez descargados y copiados los scripts quedará así el folder:

Una vez hecho esto estamos listos para probar nuestro sistema y ver si somos vulnerables.

Para eso vamos y entramos al CMD de Windows y nos dirigimos al folder donde esta el NMAP:

Nota: Cabe señalar que le cambie los colores a la ventana de CMD de Windows para que se viera mas PRO.  ya que si lo ven como siempre muchos dirán ahhh es chafita.   jajajajajajaja

Una vez ahí ya tenemos todo listo para empezar a revisar , pero antes tendremos que verificar en que rango de ip´s estamos en la red con el comando IPCONFIG:




Como podemos ver estamos en el rango de IP:   192.168.0.1 - 192.168.0.254

 Ok ahora si pondremos el siguiente comando en NMAP y se lo aplicaré a mi computadora para ver si soy vulnerable:

nmap -sC -p445 --script smb-vuln-ms17-010.nse 192.168.0.17 
Y  ........................





 Como podemos ver este script me dice que mi PC no es vulnerable, ok, probemos con otra PC en la red que estoy, pero para saber que computadoras están en la red, usaré el LANSPY de la empresa LANTRICKS para que me haga un barrido de las computadoras y sus datos específicos de cada una de ellas:

http://lantricks.com/download/lanspy_setup.exe




 Esperamos unos segundos y nos muestra todas las computadoras y celulares que están en la red conectados y con esto tendremos para poder ir probando cual es vulnerable a la diseminación de este RANSOMWARE:




Una vez  que tenemos esa lista de computadoras analizamos otra mas que en esta ocasión será 192.168.0.23 y vemos que:




Pero ahora iremos un poco mas allá haciendo un barrido de todo el rango de computadoras en esa red, para eso usaremos el siguiente comando:


nmap -sC -p445 --script smb-vuln-ms17-010.nse 192.168.0.*  

 El Barrido tardará un poco pero nos dará frutos increíbles ya que nos monstrará las computadoras vulnerables a este ataque:




foto 2


Y así hasta mostrarnos todo el rango, con esto podremos darnos una idea que tan vulnerable esta nuestra red  a la diseminación de este RANSOMWARE WANNACRY y como juanchas a actualizar y parchar nuestros windows.

Nota: Este documento esta basado en uno que vi por ahí y que lo explican desde Kali LINUX, lo aumente y explique todo desde Windows instalando todo desde el inicio.

Espero Les guste.

Saludos

Li.- Rodolfo H. Baz.
www.rodolfohbaz.net.




2 comentarios:

Crowdstrike -> Solución de errores de actualización de CrowdStrike con BitLocker habilitado

En este pequeño articulo ver como componer el problema de CROWDSTRIKE cuando esta habilitado el BITLOCKER, cabe resaltar que puede ser una e...