Чему должен научить нас WannaCry

Но все это говорит не столько об уникальных способностях зловреда, сколько о "проколах" в системах безопасности организаций. Так что вся эта печальная история – мощный стимул и повод задуматься о том, почему WannaCry так легко и беспрепятственно проник в корпоративные сети по всему миру, и что сделать, чтобы избежать подобных инцидентов в будущем.

"Windows опять просит обновиться? Отложить!"

Напомним, что WannaCry распространялся через незакрытую уязвимость в ОС Windows: наш анализ показывает, что атака инициируется посредством удаленного выполнения кода SMBv2 в Microsoft Windows. Этот эксплойт (под кодовым названием EternalBlue) был опубликован в Интернете в дампе группы хакеров Shadowbrokers 14 апреля 2017 г., хотя компания Microsoft выпустила патч для закрытия уязвимости 14 марта.

И вот тут-то и крылся корень всех проблем – как выяснилось, многие компании так и не установили обновления, закрывающие эту брешь. Одна из распространенных причин: администраторы после выхода обновления не торопятся "накатывать" его на боевые системы, ожидая первых отзывов коллег, так как остерегаются возможного негативного влияния самого патча на работоспособность машин.

Но вообще причин для промедления может быть множество: где-то практикуется установка обновлений вручную, где-то это делается раз в квартал, а где-то и вовсе основной мерой защиты от киберугроз избрали отключение доступа к Интернету. Однако, как показала практика, все эти тактики не работают. И лучше бы доверить управление обновлениями технологиям, тем более что они сегодня доступны на рынке.

Важно понимать, что хотя компьютеры с Windows, на которые не установлен патч и у которых службы SMB не защищены, могут подвергнуться удаленной атаке с использованием эксплойта EternalBlue и заразиться вымогателем WannaCry, отсутствие этой уязвимости на самом деле не мешает работе троянца. Тем не менее наличие этой уязвимости является самым значительным фактором, вызвавшим вспышку заражений.

Анализ атаки

Вредоносное ПО, используемое для атаки, шифрует файлы, а также устанавливает и запускает инструмент для дешифровки. Далее отображается требование выплатить $600 в биткоинах вместе с кошельком для оплаты. Интересно, что размер выкупа в этом примере составляет $600, а первые пять платежей на данный кошелек – около $300. Это означает, что вымогатели повышают требования выкупа.

Инструмент по дешифровке составлен на разных языках, чтобы донести сообщение до пользователей во многих странах (см. рис. 1).

Список языков, которые поддерживает WannaCry

Обратите внимание, что "сумма будет повышена" после завершения обратного отсчета, а также для повышения срочности платежа есть другое предупреждение с угрозой, что пользователь полностью потеряет свои файлы после определенного времени. Не все троянцы-вымогатели ведут подобный обратный отсчет.

Чтобы пользователь точно не пропустил предупреждение, WannaCry заменяет обои рабочего стола на инструкцию, как найти инструмент для дешифровки, установленный вредоносным ПО.

Образцы вредоносного ПО не содержат ссылок на какую-либо определенную языковую или кодовую страницу, кроме универсальной английской и латинской кодировки CP1252. Файлы содержат информацию о версии, украденную из случайных системных инструментов Microsoft Windows 7 (рис. 2).

Свойства файлов вредоносного ПО, используемых WannaCry

Для удобства платежей в биткоинах вредоносное ПО перенаправляет пользователя на страницу с QR-кодом на btcfrog, которая ведет на их главный Bitcoin-кошелек13AM4VW2dhxYgXeQe-poHkHSQuy6NgaEb94. Метаданные изображений не предоставляют никакой дополнительной информации.

Для управления и контроля вредоносная программа извлекает и использует исполняемый файл службы Tor со всеми необходимыми файлами зависимостей для доступа к сети Tor.

Расширения файлов, на которые нацеливается вредоносное ПО, содержат определенные кластеры форматов, включая:

1. Типичные расширения офисных файлов (.ppt, .doc, .docx, .xlsx, .sxi).
2. Менее типичные офисные форматы и расширения, характерные для определенных наций (.sxw, .odt, .hwp).
3. Архивы, мультимедиа файлы (.zip, .rar, .tar, .bz2, .mp4, .mkv)
4. Электронную почту и базы данных электронной почты (.eml, .msg, .ost, .pst, .edb).
5. Файлы баз данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
6. Файлы с исходным кодом и проектами разработчиков (.php, .java, .cpp, .pas, .asm).
7. Ключи и сертификаты шифрования (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
8. Файлы графических дизайнеров, художников и фотографов (.vsd, .odg, .raw, .nef, .svg, .psd).
9. Файлы виртуальных машин (.vmx, .vmdk, .vdi).

После запуска троянец немедленно создает несколько процессов для изменения прав доступа к файлам и связи со скрытыми с помощью TOR серверами c2:

• attrib +h;
• icacls . /grant Everyone:F /T /C /Q;
• C:\Users\xxx\AppData\Local\ Temp\taskdl.exe;
• @WanaDecryptor@.exe fi;
• 300921484251324.bat;
• C:\Users\xxx\AppData\Local\ Temp\taskdl.exe;
• C:\Users\xxx\AppData\Local\ Temp\taskdl.exe.

Вредоносное ПО создает мьютекс "Global\MsWin-ZonesCacheCounterMutexA" и выполняет команду:

cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog - quiet.

В результате появляется всплывающее окно UAC (User Account Control – управление учетными записями пользователей), которое пользователь может заметить.

Для связи с серверами C&C вредоносное ПО использует скрытые службы TOR. Список доменов .onion внутри службы выглядит следующим образом:

• gx7ekbenv2riucmf.onion;
• 57g7spgrzlojinas.onion;
• Xxlvbrloxvriy2c5.onion;
• 76jdd2ir2embyv47.onion;
• cwwnhwhlz52maqm7.onion;
• sqjolphimrr7jqw6.onion.

Как снизить риски и обнаружить подобные атаки: многоуровневая защита

В хорошем защитном решении должно быть предусмотрено несколько слоев защиты. Помимо классической сигнатурной проверки, т.е. поиска потенциально опасной или еще неизвестной программы по антивирусным базам, защитная программа должна также обладать возможностями эвристической проверки, т.е. уметь распознавать угрозу по поведению программы. Такой подход позволяет эффективно отражать новые и еще не известные угрозы.

Предупрежден – значит вооружен

Информационная безопасность сегодня превратилась из системы в процесс, который нужно постоянно контролировать и поддерживать в актуальном состоянии. При этом крайне важно уделять внимание не только предотвращению угроз на всех узлах и точках входа в ИT-инфраструктуру компании, но также уметь прогнозировать и предвидеть возможные векторы атак и знать, какие места в корпоративной сети в наибольшей степени подвержены риску. Эти задачи уже невозможно решить лишь технологическими средствами, тут необходимы опыт и знания экспертов в области информационной безопасности.

Особое внимание также стоит уделить обучению сотрудников компании навыкам безопасной работы с ИT-системами и озаботиться повышением их уровня осведомленности о киберугрозах. Человек – одно из самых уязвимых звеньев в цепочке защиты предприятия, и киберпреступники прекрасно это понимают.

Главное – не платить

Основная проблема с шифровальщиками и вымогателями сегодня заключается в том, что зачастую жертвы соглашаются заплатить злоумышленникам, так как не видят другого способа вернуть доступ к своим ценным данным. И это подстегивает киберпреступную экономику, что подтверждается статистическими данными: мы наблюдаем рост числа атак и фиксируем появление новых игроков на этом поле. Мы настоятельно рекомендуем не платить злоумышленникам. Во-первых, это лишь мотивирует их и дальше совершать подобные атаки, а во-вторых, уплата выкупа отнюдь не гарантирует, что доступ к зашифрованным данным будет восстановлен – киберпреступники могут "забыть" прислать ключ или вообще не иметь его. Их главная задача – собрать деньги, сохранность чужих данных их нисколько не волнует. Тем более в случае Wanna Cry нам пока не известно ни одного случая, когда после оплаты удалось расшифровать данные.

Так что лучше все-таки озаботиться проактивной защитой от угрозы вымогателей и начать играть на опережение. Как известно, проще предотвратить проблему, чем потом разбираться с ее последствиями.