Attacco ransomware #WannaCry : risorse utili e chiarimenti

[This blog post has been republished as-is on February 2019]

[ Blog post aggiornato lunedì 22/05/2017 10:00 con nuovi link, chiarimenti e FAQ su #Adylkuzz , #Athena , #WanaKiwi ]

Come è ormai tradizione di questo blog, specialmente in occasione di attacchi di alto impatto come quello che stiamo osservando da venerdì scorso, denominato #WannaCry (anche detto #WannaCrypt #WannaCryptor #Wcry …), sento l’opportunità di potervi aiutare ad orientarvi rispetto alle risorse più significative di approfondimento, e parallelamente la necessità di aiutare a fare chiarezza su potenziali rischi di disinformazione.

Principali risorse di approfondimento pubblicate da Microsoft:

Il blog del Microsoft Security Response Center (MSRC) è la risorsa principale:

che rimanda alle varie altre fonti di approfondimento, che vi riassumo di seguito per comodità:

Alcune mie personali risposte a domande frequenti (FAQ) che spero aiutino a fare chiarezza:

  • (FAQ1) Perché questa campagna ransomware ha avuto questo impatto globale? In che cosa è diversa dalle precedenti?
    • La pericolosità di questa minaccia risiede nell’aver combinato in un solo attacco 2 tipologie di malware: un codice di tipo ransomware encryption che agisce in modo classico nel cifrare i file del PC della vittima e chiedere il riscatto relativo, ed un codice di tipo worm che ha la capacità di propagarsi automaticamente all’interno di una rete (tipicamente aziendale) permettendo al primo codice di essere copiato e quindi infettare tutti i PC che riesce a contattare se vulnerabili rispetto alla vulnerabilità di rete utilizzata (nel caso specifico è la già citata “EternalBlueCVE-2017-0145 ). Un modo ingegnoso di amplificare l’infezione da ransomware che fino ad ora dipendeva solamente dall’adescamento degli utenti tramite email di phishing con allegati o link pericolosi. In virtù di tale meccanismo combinato è bastato che un solo dipendente sia rimasto vittima dell’apertura di allegato infetto, per scatenare la propagazione all’interno della propria azienda, con impatto tanto più elevato quanti più sistemi accesi e vulnerabili (=non aggiornati rispetto alle patch MS17-010 rese disponibili lo scorso marzo, o non aggiornabili perché così obsoleti da essere fuori supporto) fossero raggiungibili dal meccanismo casuale di replicazione del worm.
  • (FAQ2) Qual è stato il vettore di attacco primario?
    • Credo sia molto probabile che sia stata la modalità tradizionale di email di phishing inviate a pioggia in tutto il mondo, con allegato PDF infetto da ransomware, anche se non è stata ancora data evidenza di quale siano state le email utilizzate per adescare i primi utenti. Di fatto qualsiasi modalità tradizionale di attacco in grado di indurre l’utente ad entrare in contatto con un contenuto pericoloso (social engineering), apertura di file da allegati email, allegati/video condivisi tramite social network, file su chiavette USB,… è un possibile vettore di attacco primario. [Aggiornamento] Dalla mancata evidenza di tali email di phishing e dalle analisi di cui leggo si sta sempre di più accreditando l’ipotesi che il vettore di attacco primario possa essere stato un altro: le più probabili a questo punto sono l’infezione via rete di sistemi che espongono direttamente le porte SMB su Internet (vedi FAQ4) e la compromissione di sistemi gestibili sempre tramite Internet via protocollo RDP se dotati di password deboli di accesso e quindi vulnerabili ad attacchi di tipo Brute Force (sintesi per i non tecnici=la possibilità di indovinare le password per tentativi), entrambe very bad practice sui fondamentali di sicurezza…
  • (FAQ3) Si può immaginare un attacco internazionale organizzato e mirato verso le aziende che sono state maggiormente colpite?
    • Anche se lo chiariranno le indagini che si stanno attivando a tale scopo, personalmente non lo credo, o almeno non in prima battuta per la prima ondata di attacchi partiti venerdì 12: appare solo un meccanismo ingegnoso per aumentare l’infezione da ransomware che ha potuto purtroppo avere un impatto significativo nelle realtà aziendali dotate di sistemi obsoleti e/o con processi non efficienti (o addirittura assenti) di aggiornamento dei sistemi. A supporto della mia personale percezione c’è la constatazione che la prima variante di WannaCry / WannaCrypt non è stata attrezzata con funzionalità in grado di carpire credenziali o loro derivati (hash) una volta infettato il sistema vittima, segno della non volontà di approfittare dell’infezione ransomware per predisporsi a realizzare un attacco persistente. Questo naturalmente vale per la prima variante e nulla esclude, anzi il rischio che questo accada d’ora in avanti è molto alto, che l’evidenza di efficacia di questo approccio (phishing>ransomware+worm) possa essere usato per realizzare la base per attacchi persistenti molto più pericolosi da rilevare.
  • (FAQ4) Sono più a rischio gli utenti finali o le aziende?
    • Gli utenti finali sono tipicamente solo esposti alla minaccia di essere adescati dalla email di phishing se decidono di aprire l’allegato pericoloso o seguono un link pericoloso (o se rimangono vittima di tutti gli attacchi di social engineering già elencati alla FAQ2), perché le connessioni da casa non dovrebbero permettere ai PC di essere contattati da Internet sui protocolli SMB usati per l’attacco di replica. Per le aziende vale invece quanto indicato alla FAQ1, con una situazione che le rende molto più esposte al rischio di essere compromesse in modo massivo, a causa della propagazione interna del worm dopo la prima infezione, sempre che vi siano sistemi vulnerabili accesi. Sono inoltre emerse notizie di sistemi aziendali che hanno esposto il protocollo SMB in modo che sia accedibile da Internet: questo è davvero una very bad practice
  • (FAQ5) E’ vero che Windows 10 è immune a questo attacco? Per quale motivo lo è?
    • Il codice utilizzato dalla parte worm della variante osservata in questi primi giorni prende di mira versioni di Windows precedenti perchè probabilmente sfrutta exploit già collaudati ed efficaci sulle versioni più datate di Windows, che è anche più probabile non siano state adeguatamente aggiornate, come si è dimostrato vero. Inoltre Windows 10 è strutturalmente più robusto e ha trasformato la modalità di aggiornamento verso gli utenti finali rendendo obbligatoria l’installazione delle patch di sicurezza quando rilasciate il secondo martedì di ogni mese. Alla luce di quanto avvenuto credo si riesca a capire meglio il senso del modello di Windows as a Service come approccio che possa contribure a migliorare il livello generale di sicurezza dell’ecosistema globale: le patch di sicurezza vanno installate non appena disponibili e solo l’innovazione costante può garantire un efficace contrasto all’altrettando rapida evoluzione delle minacce.
  • (FAQ6) L’attacco è ancora in corso? In che senso si parla di attacco bloccato dal ricercatore MalwareTech?
    • Personalmente la presenza di questa funzionalità del malware che è stata usata come “kill switch” è l’aspetto che mi ha sorpreso di più: vi segnalo l’articolo che credo abbia colto il senso esatto di quanto sia successo, una probabilmente casuale ma tanto provvidenziale registrazione del finto dominio usato per evadere i tentativi di analisi ha di fatto bloccato la propagazione della specifica variante lanciata in questi giorni. Il problema è che si ha già notizia che possano propagarsi varianti prive di tale meccanismo, quindi in ultima istanza ci si deve sempre affidare all’aggiornamento dei sistemi come metodo di protezione definitiva rispetto allo sfruttamento di questa specifica vulnerabilità. [Aggiornamento] Altre analisi, tra cui quella del MMPC che vi ho riportato in alto, chiariscono dettagli più esatti rispetto all’articolo che vi segnalato in questa FAQ.
  • (FAQ7) Il rischio di impatto in ambito aziendale ha dei fattori mitiganti? Esempio, il worm si propaga solo da e verso sistemi in dominio?
    • Purtroppo non vi sono fattori mitiganti perché la componente di codice worm non ha bisogno di conoscere credenziali, può infettare qualsiasi sistema vulnerabile sia raggiungibile sulla rete con una connessione anonima. Si può quindi anche ipotizzare uno scenario, preoccupante ma reale, di un consulente esterno dotato del proprio PC, e quindi non sottoposto alle protezioni aziendali di chi lo ospita, che possa infettare la rete intranet semplicemente per la connessione – anche wireless – che gli viene offerta per collaborare per accedere a share di rete SMB (quindi non nel caso di accessi documentali tipo SharePoint/SharePoint Online). Ancora una volta è l’aggiornamento dei sistemi client e server l’unica modalità di prevenzione e protezione efficace.
  • (FAQ8) Quali sono le raccomandazioni per un utente finale?
    • Quelle classiche,
      • 1) Se non già fatto, adottare il prima possibile la versione più aggiornata del software in uso, a partire dal sistema operativo (Windows 10 !!!) ma non tralasciando di aggiornare qualsiasi software sia in grado di maneggiare contenuti esterni (quindi praticamente tutto ).
      • 2) Tra le applicazioni da mantenere assolutamente aggiornate rientrano ovviamente le soluzioni antimalware/antispam (Windows 10 include nativamente Windows Defender).
      • 3) Non smanettare per aggirare (su Windows 10) o disabilitare (sulle versioni pre-Windows 10) l’impostazione di aggiornamento automatico che permette al sistema di essere sempre protetto con le ultime patch di sicurezza non appena rilasciate. Pensate come se Windows 10 fosse la vostra auto digitale: che senso avrebbe rifiutare la disponibilità del tagliando mensile gratuito in grado di mantenere l’auto sempre nello stato migliore possibile di manutenzione e sicurezza?
  • (FAQ9) Quali sono le raccomandazioni per le aziende?
    • In aggiunta alle prime 2 già fornite per l’utente finale che valgono altrettanto per le aziende, le altrettando classiche:
      • 1) Rendere efficiente e snello il processo di aggiornamento dei sistemi, per poter installare il prima possibile e in modo completo le patch di sicurezza, nello specifico l’aggiornamento MS17-010. Ricordo che già da sabato Microsoft ha reso disponibile gli aggiornamenti anche per le versioni dei sistemi operativi non più supportati, anche nella versione localizzata in italiano, trovate i link in fondo al post MSRC.
      • 2) Sui sistemi su cui non sia comunque possibile intervenire con aggiornamenti, provvedere a disabilitare il protocollo SMBv1 (ricordo che Microsoft ha sconsigliato l’utilizzo di SMBv1, laddove possibile).
      • 3) Adottare soluzioni di sicurezza con approccio defense-in-depth per aggiungere livelli di protezione rispetto alle dinamiche di attacco 0-day / APT (vedi paragrafo che segue su soluzioni di sicurezza Microsoft in tale ambito).
  • (FAQ10) Si sente parlare di una nuova versione/variante di malware denominata #Adylkuzz , in che modo è legata a WannaCry?
    • Da quanto leggo, esempio qui, si tratta di un malware che, pur con obiettivi diversi (sfruttare di nascosto la risorse di calcolo del sistema vittima – che ne soffrirà in termini di prestazioni – per coniare la cryptovaluta Monero), sfrutta le stesse vulnerabilità di WannaCry per propagarsi/infettare >> quindi le raccomandazioni fornite per WannaCry sono altrettanto valide.
  • (FAQ11) Una rivelazione di Wikileaks ha segnalato l’esistenza di un nuovo malware denominato #Athena . Windows 10 è vulnerabile a questo malware come si legge?
    • Da tutti gli articoli e i tweet che ho letto fino al momento di questo aggiornamento [venerdì 19/05/2017 19:00] non emerge alcun dettaglio tecnico che faccia pensare che questo malware sfrutti una vulnerabilità non nota a Microsoft per “infettare” Windows 10. Leggo, ad esempio qui, di capacità di nascondersi alla detection, di catturare il traffico di rete, etc, ma appaiono tutte attività che il malware esegue dopo che si è installato sul sistema. Sino a quando non sarà chiarita quale sia la modalità con cui possa eventualmente “infettare” un sistema, l’informazione che Windows 10 sia attaccabile o vulnerabile è priva di fondamento, e quindi, al momento, è da considerarsi almeno disinformazione, se non proprio FUD. [aggiornamento lunedì 22/05/2017 10:00] Rilancio un’ agenzia ANSA che ha confermato i miei timori di possibile disinformazione: “I nostri team della sicurezza – scrive in una nota la Microsoft – hanno esaminato Athena e hanno accertato che questo software non sfrutta vulnerabilità dei prodotti Microsoft. Athena funziona solo in un sistema operativo che è stato già compromesso con un attacco portato in un altro modo“.
  • (FAQ11) Si legge di diversi tool utili per la decifratura dei file colpiti da #WannaCry tra cui #WannaKey e #WanaKiwi . Sono davvero efficaci ed affidabili?
    • Rimandandovi all’articolo di Luca Scarcella (La Stampa) per aiutarvi a saperne di più e per recuperare il link del blog di Matt Suiche da cui è possibile scaricare il tool citato, mi sento solo in dovere di allertarvi sul fatto che d’ora in avanti sulla scia di WanaKiwi potranno proliferare i tool che dichiareranno di riuscire nell’intento di aiutarci a recuperare i file cifrati da ransomware, ma dovremo porre estrema attenzione alla fonte di chi ce li proporrà poiché non potremo sapere se il tool che poi scaricheremo non contenga altro codice malware …

Quali soluzioni sono disponibili per fronteggiare attacchi di questo tipo?

Vi riporto considerazioni valide in generale, ma spero non vi scandalizzi se le declino segnalandovi quelle che sono parte della nostra Microsoft Security Platform come condivisa nel mio post di inizio anno:

  • Alla luce di quanto indicato al punto 5, ribadisco l’importanza di aggiornare i sistemi con urgenza e di adottare appena possibile le versioni più recenti del software in uso, che per l’ambito sistemi operativi Microsoft si traduce nell’auspicata adozione di Windows 10 per i client e Windows Server 2016 per i server.
  • Considerando le email di phishing con allegati infetti e link pericolosi come vettore di attacco primario, la soluzione principe è quella che si propone di proteggere e rilevare attacchi 0-day che giungono proprio attraverso le email: Office 365 Advanced Threat Protection.
  • Le soluzioni antimalware più tradizionali si sono ovviamente mosse a valle dell’analisi e relativa produzione di firme in grado di rilevare la minaccia una volta nota, per l’ambito Microsoft questo è stato indirizzato da Windows Defender già venerdì 12.
  • L’attività anomala del codice worm che tenta l’automatica propagazione tramite la rete è una tipica attività rilevabile dalle moderne soluzioni di endpoint protection di tipo anti-APT: per l’ambito Microsoft questo si traduce nella soluzione di Windows Defender Advanced Threat Protection.
  • Le caratteristiche delle soluzioni di archiviazione documentale basate sul cloud computing possono essere d’aiuto nella possibilità di mantenere lo storico delle versioni dei file e quindi di poter recuperare la versione originale del file prima che venga cifrato dal ransomware: per Microsoft questo si traduce in OneDrive for Business come parte di Office 365.
  • L’adozione di Virtual Machine ospitate dalla piattaforma Azure nella modalità IaaS garantisce che le stesse siano fornite perfettamente aggiornate con le necessarie patch di sicurezza, di cui trovate documentazione a questo link: Azure GuestOS MSRC updates.
  • Le soluzioni di tipo Cloud Access Security Broker, come la nostra Microsoft Cloud App Security, possono implementare policy di blocco nel caso si osservino upload verso le soluzioni di cloud storage (esempio, OneDrive for Business) di file con una determinata estensione tipica di un ransomware (esempio *.WNCRY nel caso di WannaCry).

Nel mentre mi accingo a completare la prima versione di questo post (che conto di aggiornare nei prossimi giorni con ulteriori risorse se necessario), vengo a conoscenza della pubblicazione del blog post del nostro Brad Smith, President & Chief Legal Officer, che vi rilancio prontamente:

The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack

A giudicare dai suoi contenuti avremo presto da discuterne…

A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)

Operazione “Eye Pyramid” : contromisure possibili con la nuova Microsoft Security platform

[This blog post has been republished as-is on February 2019]

[English readers: you can find English [EN] links in this post for your convenience]

Dopo avervi condiviso ieri una personale riflessione sull’operazione in oggetto (che alla luce delle ultime news potrebbe rivelare una compromissione effettiva molto più limitata di quanto prospettata inizialmente), credo sia più utile approfittare di questo ennesimo caso di cyber cronaca per potervi mostrare che non si è disarmati di fronte a queste tipologie di attacchi e che esistono soluzioni di sicurezza avanzate in grado di contrastarli, anche per chiarire la notevole mole di disinformazione che sta serpeggiando sui media in questi giorni, in particolare quando le analisi finiscono con il dichiarare l’impossibilità di difesa e l’ineluttabilità di essere compromessi: non è assolutamente così, ci sono contromisure possibili !!

Andiamo dritti al cuore del problema: l’attacco #EyePyramid ha potuto essere efficace per lo sfruttamento di 2 debolezze critiche

  1. L’attacco rivolto all’anello debole, cioè alla persona, indotta in modo convincente ad aprire una email perché proveniente da un indirizzo degno di fiducia (un ufficio legale o di professionisti con cui si hanno regolarmente contatti di lavoro – a parte l’anomalia della email ricevuta dall’ ENAV da parte di contatti inusuali che ha appunto fatto insospettire il responsabile di sicurezza e permesso di far partire l’indagine) e ad aprire il relativo allegato (si parla di un file PDF)
  2. L’attacco portato con una variante malware
    sconosciuta ai sistemi antivirus in grado di infettare e prendere il pieno controllo del PC ad insaputa dell’utente stesso.

Due veloci considerazioni su ciascuna debolezza.

In passato si diceva che in virtù della debolezza intrinseca degli utenti un’azione fondamentale fosse il miglioramento della cultura di base sulla sicurezza, la loro sensibilizzazione sui rischi cyber. Se la cosiddetta security awareness continua a rimanere un pilastro fondamentale per migliorare i livelli di protezione, è indubbio che non ci si può affidare solo ad essa: come dimostra il caso in oggetto, chi attacca si attrezza appunto per usare le tecniche di social engineering per carpire la buona fede anche dei più tecnicamente preparati.

Sul tema antimalware è ormai pienamente assodato che queste soluzioni da sole non riescono più a stare al passo della facile possibilità da parte di chi attacca di realizzare varianti in grado di non essere rilevate dal meccanismo signature-based (=scopro un nuovo malware, creo la firma che permette di riconoscerlo e la distribuisco >> c’è evidentemente un gap temporale che può essere usato per non essere rilevati con una variante nuova).

L’evoluzione delle soluzioni di sicurezza ha dovuto necessariamente trovare contromisure ad entrambe le debolezze citate per riuscire a proteggere gli utenti anche se incauti o abilmente ingannati e per contrastare malware cosiddetto 0-day, ossia non ancora catalogato come tale e quindi non incluso in firme di rilevamento.

Nell’ambito della nuova Microsoft Security platform che vi ho velocemente mostrato in slide nel mio recente post-manifesto di rilancio del blog NonSoloSecurity, esiste una specifica soluzione pensata a questo scopo rispetto a minacce 0-day che possano giungere come allegati di email o come link pericolosi all’interno delle stesse:

Office 365 Advanced Threat Protection (ATP)
[EN version]: avrò modo di tornare in un prossimo post per darvi maggiori dettagli sulle sue funzionalità, ma per l’applicabilità al caso in oggetto serve sapere che tale soluzione (che Microsoft ha rilasciato nell’estate 2015 [EN]) avrebbe sottoposto il PDF allegato ad un meccanismo di detonation, di verifica della sua reale pericolosità su un sistema virtuale isolato (sandbox), prima di di cestinarlo (se pericoloso) o di veicolarlo nella casella di posta dell’utente (se sicuro).

Una volta installatosi nel PC delle vittime questo malware si è attrezzato per modificare in più parti la configurazione del sistema operativo e delle applicazioni presenti per poter effettuare indisturbato una serie di azioni pericolose (recuperare i documenti e i file più disparati, spedire i più piccoli come allegati via email, salvare i più grandi su servizi di storage cloud, rubare credenziali eventualmente memorizzate sul sistema, carpire i tasti digitati sulla tastiera, sottrarre i preferiti e le history di search & navigazione sul web, …).

Possibile che tutto questo gran da fare possa essere fatto in modo da non essere rilevato? Le moderne soluzioni di sicurezza a livello di PC/endpoint intendono proprio agire per tenere sotto stretto controllo tutto quanto avvenga sul sistema per riconoscere pattern di azioni pericolose sintomo di un attacco / compromissione non ancora catalogate come malware:

La nuovissima soluzione di Windows Defender Advanced Threat Protection (WD-ATP) [EN version], rilasciata nell’ultima major release di Windows 10 del luglio 2016 (l’Anniversary Update – build 1607), svolge proprio il ruolo di soluzione di post-breach detection per individuare nel modo più rapido possibile ogni indicatore di attacco/compromissione (IoA/IoC) grazie all’uso della potente granularità della telemetria in Windows 10, in modo che non serva installare alcun agent ma solo abilitare funzionalità native del sistema operativo.

Un passo ulteriore di possibile contromisura per una efficace detection multi-livello: vi ho segnalato che l’attacco ha attrezzato il malware a trafugare dati (exfiltration) utilizzando servizi di cloud storage americani per i file di grosse dimensioni: esistono soluzioni di tipo Cloud Access Security Broker (CASB)

La soluzione Microsoft in questo ambito si chiama Cloud App Security [EN version], disponibile dall’aprile del 2016 [EN] è parte della nuova suite di soluzioni di Enterprise Mobility + Security (EMS) [EN version], e pemette la supervisione del traffico in uscita verso il cloud per poter rilevare anomalie di traffico dati, violazioni di policy aziendali, condivisione non autorizzata di documenti sensibili.

Ultimo passaggio: anche se non si ha al momento evidenza che chi abbia perpetrato questo attacco abbia agito con delle azioni di cosiddetto lateral movement per tentare di compromettere sistemi aziendali a cui il PC compromesso potrebbe essere stato connesso in qualche momento, si ha evidenza che il malware ha permesso di “esfiltrare” anche credenziali di rete/aziendali … e in ogni caso su PC appartenenti a domini aziendali questa compromissione crea le condizioni per usare tale sistema come testa di ponte per l’escalation di attacco verso risorse aziendali che potrebbero esporre ulteriori dati ed identità altamente sensibili. Di fronte a questo scenario pericolosissimo, ma ahimè altamente riscontrato nelle azioni di contrasto che come Microsoft effettuiamo ogni giorno a supporto dei nostri clienti, è opportuno sappiate della disponibilità di una innovativa soluzione della tipologia che Gartner ha chiamato UEBA “User and Entity Behavior Analytics

Microsoft Advanced Threat Analytics (ATA) [EN version] è la soluzione (disponibile dall’agosto 2015 [EN], ora giunta alla versione 1.7 [EN]) che si propone di essere leader in questo segmento UEBA grazie alla possibilità di combinare l’approccio di Behavioral Analytics (che i clienti più avveduti staranno sicuramente già valutando) con una esclusiva capacità di detection deterministica di ogni fase di cui sono composti i più recenti e sofisticati attacchi rivolti alla compromissione delle identità gestite da Active Directory (per citare i più temuti: Pass-the-Hash (PtH), Pass-the-Ticket (PtT), Overpass-the-Hass, Skeleton key malware, Golden ticket…)

Se avessi voluto cercare un caso reale per iniziare a raccontarvi l’efficacia concreta offerta dalle soluzioni di Threat Detection e Protection incluse nella nuova Microsoft Security platform



… non avrei potuto trovare nulla di meglio dell’evento #EyePyramid

P.S. vi segnalo alcune utili risorse per approfondire i dettagli dell’attacco

A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)