Как проводилась атака (вирус WCry)?

Question

[Василий Петров]

Если не ошибаюсь, вчера была проведена крупная атака. Вирус WCry распространился на множество компьютеров во всем мире, но как? Говорили, писали, что хакеры отправляли письма по почте, в которых был файл с вирусом, а как ещё распространяли этот вирус? В чем вообще заключается эта атака?

Comments

[Simra84]

Мне на почту сайта приходило письмо якобы с неоплаченным счетом от сбербанка. По ссылке скачивался скрипт. Сейчас храню его на память. Могу прислать.

Answer 1

[АртемЪ]

Шифровальщики как правило распространяются двумя путями -
1)Письмо на почту с вложением - пользователь открывает письмо и запускает шифровальщика.
2)Подбор пароля к серверу терминалов - тупо перебирают популярные пароли на открытом 3389 порту.
Т.е либо социальная инженерия либо перебор паролей в надежде что кто нибудь поставит пароль 123, или qwerty

В данном случае использовалась уязвимость протокола SMB v1 - этот протокол обеспечивает доступ к сетевым папкам, и передачу файлов в сетях. Данная версия давно не используется, и оставлена исключительно для совместимости.

Однако компьютеров у которых 445 порт смотрит наружу практически нет.
Все компьютеры стоят либо за файерволом роутера, либо еще и за NAT'ом.

В результате в большинстве случаев страдали крупные компании - компьютеров много, где-то выставили 445 порт наружу - заразился, и дальше уже по локальной сети кладет всю сеть.
Эта атака по сути не такая уж и крупная. Просто от атаки пострадали крупные корпорации, что и обеспечило пиар.

Уязвимость по сути не страшная - 445 порт просто никогда, никто, не будет светить наружу. В теории.
На практике находятся такие - либо в DMZ файловую шару загонят, либо порты пачкой пробросят, чтобы не париться по одному.
Человеческий фактор.

Comments

[ser-storchak Сергей]

445 порт просто никогда, никто, не будет светить наружу

Ошибаетесь
https://www.shodan.io/search?query=%2B%22200%22+po...
До атаки таких машин было гораздо больше. Сейчас, возможно, большинство из оставшихся - ловушки (honeypots).

Answer 2

[Сережа Ахен]

https://geektimes.ru/post/289115/

Тут вам и видео, и фото, и как воспользоваться, и как защититься. Бонусом пол тыщи комментариев.

Comments

[Василий Петров]

Пойду обновляться :D

[Антон Уланов]

Василий Петров: не поможет, в форточках всегда были и будут дырки

[Василий Петров]

Антон Уланов: ну они везде есть. От WCry поможет

[АртемЪ]

Антон Уланов: Дыр хватает в любой системе, и в линуксе их не меньше.
Просто в линуксе их особого смысла нет эксплуатировать - там аудитория очень небольшая, и очень специфичная.

Целевая аудитория шифровальщиков - рабочие станции в офисе. 90% этих станций работает на windows.

[Антон Уланов]

АртемЪ: я бы сказал что целевая аудитория не рабочие станции а скорее дураки в ИТ, которые поленились обновиться и закрыть дырки в сетях

[АртемЪ]

Антон Уланов: Целевая аудитория любого бизнеса это люди которые готовы платить.
Как вы думаете дураки в ИТ, которые поленились закрыть дыры готовы заплатить за это из своего кармана?
Я очень в этом сомневаюсь, ни разу не сталкивался с таким.
А если они не готовы, значит они не могут быть целевой аудиторией.

[Валентин]

Антон Уланов: вы живете в идеальном мире, что ИТ могут массово все обновить. Вот вам примеры факапов:
1) компьютеры отпускников, выключенные на месяц или больше.
2) командируемые сотрудники, работающие вне офиса.
3) системы, под которые нет обновлений (разве были патчи под все embedded и что там со старыми версиями win?).
4) а как быть с системами, у которых должна smb торчать наружу, пусть даже временно? думаете, такого небывает?
5) тонкий клиент - панацея? всегда найдется кто-то, кто попросит восстановить свою вм из замороженного бекапа. Думаете, там тоже все обновлено?

Что, каждого лично проверять в организации на 30k сотрудников? И не забывайте, все крупные организации внутри используют файловые шары, одна зараженна машина может шифровать все файловые ресурсы.

[Антон Уланов]

АртемЪ: я с такими сталкивался, сначала они орали что сами дешифруют а потом выложили очень круглую сумму BTC

[Антон Уланов]

Валентин: ну про пк отпускников я не соглашусь, сам ходил по таким тачкам и принудительно обновлял, те кто в командировках тоже могут подчиняться AD и его GPO. Со старыми ос да согласен все и вся не учесть

[Валентин]

Антон Уланов: хотите ещё кейс? У нас многие мелкие конторки проверяют скорость интернета через сетевые шары. Командировочники, безусловно, могут подчиняться GPO, но какой админ будет ставить принудительные обновления человеку за 3G модемом?

[Антон Уланов]

Валентин: сколько я не катался по командировкам по рф и Европе я очень давно не видел 3G сетей, + вайфай на местах работы ни кто не отменял

[Валентин]

Антон Уланов: это смотря с чем работа связана. Я катаюсь на объекты таких заказчиков, у которых нет не то что гостевого вай-фая, а в принципе интернета. А сейчас даже на жд вокзалах нет халявного вай-фай от кафе

Answer 3

[Антон Уланов]

распространяли через огромнейшую дыру под названием MS Windows

Comments

[Василий Петров]

А подробнее можно?

[snovazabilparol]

Василий Петров: Можно. SMB Exploit, атака происходила через 445 порт. Можно скачать MSF и узнать подробнее, вернее увидеть своими глазами, а если есть последний сплоит, который входит на любой сервер MS вплоть до 2016 без пароля с привилегиями System так вообще можно всю эту страну покорить)

[Денис Славский]

А Windows 10 не подвержена этой атаке. Обновляться надо!

Answer 4

[snovazabilparol]

но как?

use exploit double_pulsar_smb_445_mswin030708
set payload /home/payloads/wanacry2
set target весь_интернет_особенно_россия
execute exploit -t hack_me_please -T 3000
... [ hacking done ] ...

Как-то так, имхо... Если-что написанное выше отношения к MSF не имеет.

Comments

[Валентин]

Как заиспользовать готовый эксплойт я думаю и так всем понятно. Мне вот интересно другое - какие конкретно цели приследовали ребята, запустившие это. Сумма дохода по сравнению с расходами у них мала, крупные конторы восстановят все из бекапов... что скрывалось за этой массовой истерией? что реально компашка эта получила?

[Василий Петров]

Валентин: это был заказ микрософт, чтобы люди обновляли винду. А в новых версиях окн микрософт запихали что-то "магическое" :D

[fajiz]

Валентин: это шутка? Более 100к ПК положено на вчера, выкуп 600$. 100 человек заплатят выкуп - 60к. А если не 100, а 300? 500? Это реальные цифры вполне со 100к. А если не 100к? И уже счет идет на 1000 выкупов. Ребятки свой лям точно заработали. А расходы только на спам и инфраструктуру копеечную (сервера, домены).

[Валентин]

fajiz: ой, вы что, из тех, кто верит в сказки о двух программистах, сумевших в одиночку захватить мир? Поинтересуйтесь, сколько стоит только один ботнет на 14 часов для сканирования всех белых IP на открытые smb порты.

[Яков Е]

Валентин: а действительно, сколько?)

[Валентин]

Яков Е: а вы поинтересуйтесь в deep web, а ещё узнайте, сколько стоит анонимная доставка контента такое количество машин (вы же не думаете, что малварь качалась с одного vds по ftp на такое количество машин?). А ещё узнайте, сколько стоит система управляющих серваков.

[Яков Е]

Валентин: ну если вы поинтересовались, почему не поделиться? Зачем другим искать самостоятельно?

[snovazabilparol]

Валентин: вот мы и нашли создателя этой малвари)
Яков Е: это все отвлекающий маневр, в суровой реальности сервера можно достать бесплатно, а за пачку доменов заплатить копейки, про анонимные .onion домены вообще молчу, они бесплатные сами по себе :)

Ой, все, теперь все пойдут малварить по черному...

Answer 5

[slinkinone]

Вам будет интересна эта статья.