WannaCry: хроника реагирования

Алексей Павлов, аналитик Solar JSOC компании Solar Security

Мы не собираемся рассказывать, как защищаться от вируса-шифровальщика WannaCry, – таких рекомендаций в Интернете уже десятки. Речь пойдет о том, как в случае атаки функционирует SOC и какие шаги необходимы для реагирования на глобальные инциденты. 

Превентивные мероприятия

До начала заражения публиковалось достаточно много аналитики, посвященной выявленным уязвимостям. В рамках наших профильных сервисов мы оповестили клиентов о критичности таких уязвимостей и необходимости обновления всех доступных для этого хостов. С помощью мониторинга и анализа логов контролировать эксплуатацию уязвимостей было невозможно, и мы сделали паузу до начала фактических срабатываний.

12.05.2017

11:37. На некритичном хосте одного из заказчиков был детектирован новый образец шифровальщика Поскольку у нас с заказчиком простроен процесс совместного разбора таких инцидентов, мы начали действовать по четырем заранее намеченным направлениям:

  • анализ доступных журналов и окружения инцидента для выявления попыток проникновения шифровальщика в инфраструктуру;
  • получение и самостоятельный анализ сэмпла вредоносного ПО и образа машины нашей forensic team;
  • работа с пользователем для определения канала проникновения вредоносного ПО;
  • передача сэмпла в антивирусные лаборатории (по согласованию с клиентом).

13:52. Первые краткие итоги: на хосте действует антивирус с максимально жесткими политиками, доступ пользователя к USB и Интернету серьезно ограничен, и он уверяет, что не открывал каких-либо писем. Следовательно, отсеклись стандартные маршруты распространения шифровальщика, что привлекло внимание к инциденту внутри JSOC. Первые рабочие версии: вредоносное ПО  «воспользовалось» уязвимостью (у хоста был белый ip) либо долгое время находилось «в спячке», ожидая своего часа. Первые выводы forensic team: вирус – многомодульный, с возможностью обогащения функционала, он распространяется с помощью сетевого сканирования внешних и внутренних адресов и эксплуатации уязвимости.

15:32. Осуществлена проверка клиентов по имеющимся индикаторам – задолго до появления официального сообщения о массовой эпидемии. Масштабы бедствия еще не были известны, поэтому экстренных оповещений мы не проводили. В результате оперативного анализа нам стали известны ip-адрес и домен сервера, на который идут обращения при шифровании файлов.

Ретроспективная проверка всех заказчиков не выявила положительных срабатываний. Все индикаторы были добавлены в активные правила и листы для дальнейшего отслеживания попыток обращения, в том числе неуспешных, к вредоносному домену и оперативного выявления зараженных машин.

По разным каналам начала появляться информация о вирусе-шифровальщике. Стало понятно, что обнаруженный нами зловред распространяется массово. Работа была разделена еще на несколько направлений:

  • оповещение клиентов о первых индикаторах работы и мероприятиях;
  • углубленная работа с сэмплом;
  • фокусное общение с технологическими и техническими партнерами для обмена результатами разбора вируса;
  • активное отслеживание сообщений в СМИ, ленте Facebook, «взорванной» сведениями о заражениях, на форумах вендоров и CERT для поиска дополнительной информации и индикаторов.

17:30. Стало известно, что для распространения вредоноса используется уязвимость EternalBlue CVE-2017-0144. О ней впервые заговорили 14 апреля, и многие эксперты опубликовали предупреждения об опасности данной уязвимости. Клиенты Solar JSOC, имеющие открытый вовне порт 445, были проинформированы о необходимости установки патчей и применения компенсирующих мер для снижения риска эксплуатации этой уязвимости.

18:15. У всех заказчиков был запущен кастомный сценарий для отслеживания аномального количества соединений с одного хоста по порту 445 внутри сетей заказчиков Таким образом, мы смогли контролировать попытки распространения вредоноса с хостов, не подключенных к Solar JSOC. К счастью, таких рабочих станций выявлено не было.

В это же время мы получили дополнительные сетевые индикаторы компрометации, поставили на контроль обращения через межсетевые экраны и прокси, а также стали мониторить DNS-запросы. Все клиенты получили оповещение о необходимости блокировки указанных адресов на сетевом оборудовании. Общее поведение вредоносного ПО было таким:

  • с нескольких серверов происходит сканирование Интернета в поисках открытых наружу портов 445;
  • обнаружив открытый порт, WannaCry пытается эксплуатировать уязвимость EternalBlue;
  • в случае успеха эксплуатации в системе устанавливается бэкдор DoublePulsar, а затем докачиваются основные компоненты WannaCry;
  • после этого вирус шифрует файлы определенных форматов, не затрагивая системные файлы;
  • программа начинает случайным образом сканировать «серые» адреса в поисках вариантов дальнейшего распространения и в случае их обнаружения вновь повторяет цикл.

После 19:30 большинство антивирусных вендоров добавили в свои решения сигнатуры отдельных компонентов WannaCry. Были запущены принудительное обновление и проверка всех машин наших клиентов. В течение следующих нескольких часов велось мы непрерывно взаимодействовали со специалистами заказчиков по фактам обнаружения новых подробностей поведения и распространения WannaCry. Разбор инцидента (единичное заражение) у заказчика показал, что открытых наружу портов 445 у него не было. Таким образом, единственным способом проникновения в его инфраструктуру оставалась почта.

13–14.05.2017

В течение последующих двух дней мы получали информацию и сэмплы других сборок вредоносного ПО, эксплуатирующих уязвимость EternalBlue. Новые индикаторы компрометации проверялись в ретроспективе и ставились на активный контроль. Дежурный аналитик взаимодействовал с техническими специалистами заказчика в течение выходных. Все подозрительные почтовые вложения очень тщательно проверялись.

Нам стало понятно, что использование уязвимости останется трендом ближайшего времени, и любые меры, связанные с применением мониторинга, кастомных сигнатур и работой антивируса, стоит рассматривать лишь как компенсирующие. Соответственно, в еще более интенсивном режиме продолжилась работа с обновлением систем, в том числе legacy, для которых появились актуальные патчи.

Тэги: 
Оцените материал:
Total votes: 9

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.