Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1084
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
mayo
(Total:
10
)
- El hacker que ayudó a capturar a Dámaso López trat...
- Los autores del ransomware WannaCry podrían ser de...
- WikiLeaks desvela más malware de la CIA: AfterMidn...
- Detienen la propagación del ransomware Wanna Cry r...
- Ataque masivo y global del ransomware Wanna Decryp...
- Phreaking: la historia del hacking telefónico
- Programador de Nissan copia código de Stack Overflow
- Yahoo recompensa con 7 mil $ investigador de segur...
- HackerOne niega el acceso de FlexiSpy a su program...
- Google Docs soluciona un sofisticado ataque de phi...
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
236
)
manual
(
221
)
software
(
206
)
hardware
(
196
)
linux
(
126
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un conector HDMI dummy o fantasma no es más que un HDMI que simula que hay una pantalla conectada. Tienen una variedad de propósitos útil...
-
En WhatsApp se han dicho verdaderas barbaridades. Todos hemos cometido el error de escribir algo en caliente . Y de arrepentirnos. Tal vez ...
Detienen la propagación del ransomware Wanna Cry registrando un dominio
sábado, 13 de mayo de 2017
|
Publicado por
el-brujo
|
Editar entrada
El experto en seguridad Marcus Hutchins se ha convertido en un "héroe accidental" tras gastar unos pocos dólares y registrar un dominio inexistente, que hace que el ransomware WannaCry deje de extenderse. Vió que el malware tenía codificadas consultas a un dominio muy largo, que no estaba registrado Si WannaCry ve que ese dominio está activo, deja de propagarse. Aparentemente, los creadores del malware habían creado este interruptor para poder detener su avance. Cisco ha confirmado que la extensión se ha detenido por este descubrimiento. Microsoft ha decidido parchear versiones sin soporte de Windows por la gravedad del asunto.
Durante las últimas horas, un malware de secuestro denominado WannaCry afectó a muchas organizaciones de todo el mundo como Telefónica de España, FedEx de Estados Unidos o el Servicio Nacional de Salud (NHS) del Reino Unido, donde las computadoras del hospital comenzaron a mostrar un mensaje de rescate de $ 300 de bitcoin. También se confirma que Nissan en Sunderland, la mayor fábrica de automóviles del Reino Unido.
Ahora, un "héroe accidental" ha interrumpido la propagación global del ransomware, simplemente gastando unos pocos dólares registrando un nombre de dominio al que el malware hace una solicitud.
Este hombre, Marcus Hutchins, un investigador de ciberseguridad de 22 años del Reino Unido @malwaretechblog, encontró que el interruptor fue codificado en el ransomware "en caso de que el creador quisiera detener su propagación. Esto se hizo a través de un nombre de dominio muy largo que el malware tuvo que conectarse (muy similar a buscar cualquier sitio web). Si la conexión es correcta, y muestra un dominio en vivo, el 'kill switch' funciona, se apaga inmediatamente y se detiene la propagación del ransomware. (del inglés ransom, 'rescate', y ware, por software)
Warren Mercer (líder de seguridad técnica en Cisco), confirmó que las infecciones por WannaCry / WanaDecrpt0r han bajado debido al descubrimiento de @MalwareTechBlog
Sin embargo, se advierte sobre un nuevo hilo que viene. "Hay una posibilidad muy probable que van a desvelar una nueva versión de la ransonware para comenzar de nuevo. Si la gente no repara sus computadoras, volverá a ocurrir ",
Análisis de Infraestructura
Los investigadores de Cisco Umbrella observaron por primera vez las solicitudes de uno de los dominios de killswitch de WannaCry (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com) a partir de las 07:24 UTC, luego aumentando a un pico de poco más de 1.400 casi 10 horas más tarde.
La carga útil (Payload) de propagación WannaCry contiene un dominio previamente no registrado, la ejecución falla ahora que el dominio ha sido eliminado (skinhole)
La subrutina anterior intenta un HTTP GET a este dominio y, si falla, continúa llevando a cabo la infección. Sin embargo, si tiene éxito, la subrutina sale. El dominio está registrado en un sumidero bien conocido, lo que efectivamente hace que esta muestra termine su actividad maliciosa.
La amenaza crea un servicio denominado mssecsvc2.0, cuya función es explotar la vulnerabilidad de SMB en otros equipos accesibles desde el sistema infectado:
Descargar parches contra Ransom:Win32.WannaCrypt.
Download English language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
Download localized language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
En caso de que no sea posible aplicar los parches de seguridad se debería desactivar el servicio SMBv1. Para ello: - Abre el Panel de control, haz clic en Programas y, a continuación, haz clic en Activar o desactivar características de Windows.
- En la ventana Características de Windows, desactiva la casilla de verificación SMB1.0 / CIFS File Sharing Support y, a continuación, haz clic en Aceptar para cerrar la ventana.
- Reinicia el sistema.
Para desactivar SMB1 abre powershell como administrador y usa estos 2 comandos
Para habilitar o deshabilitar SMBv1 en el servidor SMB, configure la clave del registro siguiente:
REG_DWORD: 0 = deshabilitado
REG_DWORD: 1 = habilitado
Valor predeterminado: 1 = habilitado
El CCN-CERT ha desarrollado una herramienta para prevenir la infección por el malware WannaCry 2.0. Se trata de "CCN-CERT NoMoreCry Tool", una herramienta disponible para todas las entidades que lo requieran, que crea un mutex (algoritmo de exclusión mutua) en el equipo que previene la ejecución del código dañino WannaCry 2.0. Es importante reseñar que, en el caso de máquinas infectadas, la ejecución de esta herramienta NO es de aplicación al no actuar sobre la misma de la forma prevista.
El Equipo de Respuesta del Centro Criptológico Nacional hace notar que la herramienta deberá ejecutarse tras cada reinicio, debido a que no presenta persistencia en el equipo. Este proceso se puede automatizar mediante la modificación del registro de Windows o a través de la aplicación de políticas en el dominio.
Esta herramienta funciona en sistemas operativos superiores a Windows XP.
CCN-CERT NoMoreCry Tool se encuentra en la plataforma en la nube del CCN-CERT, LORETO. Junto a ella también está disponible el Script que evita la ejecución del código dañino en equipos Windows en inglés y en español.
Fuentes:
http://blog.talosintelligence.com/2017/05/wannacry.html
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
https://support.microsoft.com/es-es/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
Durante las últimas horas, un malware de secuestro denominado WannaCry afectó a muchas organizaciones de todo el mundo como Telefónica de España, FedEx de Estados Unidos o el Servicio Nacional de Salud (NHS) del Reino Unido, donde las computadoras del hospital comenzaron a mostrar un mensaje de rescate de $ 300 de bitcoin. También se confirma que Nissan en Sunderland, la mayor fábrica de automóviles del Reino Unido.
Ahora, un "héroe accidental" ha interrumpido la propagación global del ransomware, simplemente gastando unos pocos dólares registrando un nombre de dominio al que el malware hace una solicitud.
Este hombre, Marcus Hutchins, un investigador de ciberseguridad de 22 años del Reino Unido @malwaretechblog, encontró que el interruptor fue codificado en el ransomware "en caso de que el creador quisiera detener su propagación. Esto se hizo a través de un nombre de dominio muy largo que el malware tuvo que conectarse (muy similar a buscar cualquier sitio web). Si la conexión es correcta, y muestra un dominio en vivo, el 'kill switch' funciona, se apaga inmediatamente y se detiene la propagación del ransomware. (del inglés ransom, 'rescate', y ware, por software)
Botón de apagado
Warren Mercer (líder de seguridad técnica en Cisco), confirmó que las infecciones por WannaCry / WanaDecrpt0r han bajado debido al descubrimiento de @MalwareTechBlog
El dominio es una dirección dot-com, formada por una larga cadena de letras y números gobbledygook, que termina en 'gwea.com'. De acuerdo con TheDailyBeast, @MalwareTechBlog vio que el dominio no estaba registrado y decidió comprarlo en NameCheap.com por sólo 10,69 dólares. Luego, lo señaló en un servidor de 'sumidero' en California, con la intención de recolectar información sobre el malware. De repente, vio miles de conexiones por segundo.Infections for WannaCry/WanaDecrpt0r are down due to @MalwareTechBlog registering initial C2 domain leading to kill-switch #AccidentalHero— Warren Mercer (@SecurityBeard) May 12, 2017
Sin embargo, se advierte sobre un nuevo hilo que viene. "Hay una posibilidad muy probable que van a desvelar una nueva versión de la ransonware para comenzar de nuevo. Si la gente no repara sus computadoras, volverá a ocurrir ",
It's very important everyone understands that all they need to do is change some code and start again. Patch your systems now! https://t.co/L4GIPLGKEs— MalwareTech (@MalwareTechBlog) May 13, 2017
Análisis de Infraestructura
Los investigadores de Cisco Umbrella observaron por primera vez las solicitudes de uno de los dominios de killswitch de WannaCry (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com) a partir de las 07:24 UTC, luego aumentando a un pico de poco más de 1.400 casi 10 horas más tarde.
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
La carga útil (Payload) de propagación WannaCry contiene un dominio previamente no registrado, la ejecución falla ahora que el dominio ha sido eliminado (skinhole)
API InternetOpenUrlA():
La subrutina anterior intenta un HTTP GET a este dominio y, si falla, continúa llevando a cabo la infección. Sin embargo, si tiene éxito, la subrutina sale. El dominio está registrado en un sumidero bien conocido, lo que efectivamente hace que esta muestra termine su actividad maliciosa.
La amenaza crea un servicio denominado mssecsvc2.0, cuya función es explotar la vulnerabilidad de SMB en otros equipos accesibles desde el sistema infectado:
Nombre del Servicio: mssecsvc2.0
Descripción del servicio: (Microsoft Security Center (2.0) Service)
Parámetros de servicio: "-m security"
Detalles criptográficos
-
encrypted via AES-128-CBC (custom implementation in the binary)
-
AES key generated with a CSPRNG, CryptGenRandom
-
AES key is encrypted by RSA-2048 (windows RSA implementation)
-
https://haxx.in/key1.bin (the ransomware pubkey, used to encrypt the aes keys)
-
https://haxx.in/key2.bin (the dll decryption privkey)
the CryptImportKey() rsa key blob dumped from the DLL by blasty.
Algunos strings interesantes del binario
BAYEGANSRV\administrator Smile465666SA wanna18@hotmail.com
Contraseña usada para descomprimir el dropper:
WNcry@2ol7
Microsoft publica una actualización urgente contra WannaCrypt para Windows XP y otras versiones sin soporte
Microsoft publica el parche de seguridad para Windows XP contra WannaCrypt, el ransomware. Una situación delicada como esta ha requerido una acción ‘inusual’ como
la de desarrollar una actualización de seguridad de urgencia para
proteger a los usuarios de sus antiguas plataformas.
- Windows XP
- Windows 8
- Windows Server 2003
Descargar parches contra Ransom:Win32.WannaCrypt.
Download English language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
Download localized language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
Actualización de seguridad -KB4012598
¿Cómo se propaga WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY?
- Tienes protocolo SMBv1 habilitado
- eres accesible desde internet (WAN)
- y no tienes el parche MS17-010
En caso de que no sea posible aplicar los parches de seguridad se debería desactivar el servicio SMBv1. Para ello: - Abre el Panel de control, haz clic en Programas y, a continuación, haz clic en Activar o desactivar características de Windows.
- En la ventana Características de Windows, desactiva la casilla de verificación SMB1.0 / CIFS File Sharing Support y, a continuación, haz clic en Aceptar para cerrar la ventana.
- Reinicia el sistema.
Para desactivar SMB1 abre powershell como administrador y usa estos 2 comandos
SC.exe config lanmanworkstation depend = mrxsmb20/bowser/nsi
SC.exe config mrxsmb10 start = disabled
Para habilitar o deshabilitar SMBv1 en el servidor SMB, configure la clave del registro siguiente:
Subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parametersentrada del registro: SMB1
REG_DWORD: 0 = deshabilitado
REG_DWORD: 1 = habilitado
Valor predeterminado: 1 = habilitado
SMBv1 Workstation
Key/Hive - "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation"
Subkey - DependOnService
Value - "Bowser","MRxSmb20","NSI"
SMBv1 Server Key/Hive - HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
Subkey - SMB1
Value - 0
Type - DWORD
Note: This is a new subkey you need to create
Herramienta NoMoreCry del CCN-CERT
El CCN-CERT ha desarrollado una herramienta para prevenir la infección por el malware WannaCry 2.0. Se trata de "CCN-CERT NoMoreCry Tool", una herramienta disponible para todas las entidades que lo requieran, que crea un mutex (algoritmo de exclusión mutua) en el equipo que previene la ejecución del código dañino WannaCry 2.0. Es importante reseñar que, en el caso de máquinas infectadas, la ejecución de esta herramienta NO es de aplicación al no actuar sobre la misma de la forma prevista.
El Equipo de Respuesta del Centro Criptológico Nacional hace notar que la herramienta deberá ejecutarse tras cada reinicio, debido a que no presenta persistencia en el equipo. Este proceso se puede automatizar mediante la modificación del registro de Windows o a través de la aplicación de políticas en el dominio.
Esta herramienta funciona en sistemas operativos superiores a Windows XP.
CCN-CERT NoMoreCry Tool se encuentra en la plataforma en la nube del CCN-CERT, LORETO. Junto a ella también está disponible el Script que evita la ejecución del código dañino en equipos Windows en inglés y en español.
Fuentes:
http://blog.talosintelligence.com/2017/05/wannacry.html
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
https://support.microsoft.com/es-es/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
16 comentarios :
Muy buena explicación
Excelente ayudar y las explicaciones son muy claras, gracias
Por favor no pongan que es un "héroe accidental", es un HEROE con todas las letras!!!, analizó y tomó acción, eso no es accidental!!!!
Las grandes empresas deberían pagarle una pensión de por vida!
¿A las personas que no tienen dinero en qué les afecta? xD
excelente material bien detallado gracias por el aporte !!!!
Muchas gracias por el aporte. He intentado bajarme desde la página de windows https://www.microsoft.com/en-us/download/details.aspx?id=55245windows la version xp 86 y la que te baja es la siguiente WindowsXP-KB4012598-x86-Embedded-Custom-ESN con lo que me dice que no es compatible. ¿He hecho algun paso mal? Muchas gracias de nuevo.
Warren Mercer lo bautizó con el hash tag #AccidentalHero, por eso lo de "héroe accidental", era más bien una broma, ya que no sabía si realmente registrando el dominio solucionaría el problema. "I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental" https://twitter.com/MalwareTechBlog/status/863187104716685312
A mi tampoco me ha dejado instalar el parche WindowsXP-KB4012598-x86-Embedded-Custom-ESN.exe en un Pc con Win XP SP3, pero éste si: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-esn_1fbe054158b612f4d37558975f925469239fa4c3.exe
Gracias el-brujo por la rápida respuesta aunque lo he solucionado bajandolo desde el link que ponen mas abajo denominado Actualización de seguridad -KB4012598 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Los que usan Windows 7, tienen también la vulnerabilidad de sufrir un ataque de este malware?
Windows 8 se ve afectado. Pero y el 8.1?
No consigo instalar la del 8
He visto q también hay para el 2008. Pero es la misma del R2?
En el catalogo de actualización de MICROSOFT no viene la descarga para Windows 7 y 10, esto es por que no afecta a estos sistemas?? Saludos
Tambien pienso que el heroe fue HEROE con todas las letras. Nada de accidental. Mis respetos para el. La contramedida que se aplicó viene de analizar una parte del código. Una solucion integral hubiera requerido mas tiempo de estudio del codigo y de la interaccion de sus metodos. Francamente, una brecha de seguridad tan grande con una solucion tan sencilla. Eso si es un evento de probabilidad baja. https://bit.ly/2GIwrlh
El "héroe" es el mismo creador
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.