Ransomware
0 gostou11,489 visualizações
O documento discute ransomware, especificamente o ataque WannaCry de maio de 2017. O documento fornece detalhes sobre como o WannaCry se espalhou, como funciona, e quais falhas permitiram que fosse contido. Também discute casos de ransomware e recomendações para prevenção e resposta a incidentes.
Ransomware
- 2. 2 • Sócio iBLISS Digital Security – Lisboa • Especialista EXIN (Cyber Security) • Professor +5 anos • Consultor TI/SI +12 anos • Certificações: BCMF, ISO/IEC 27001 LA, ISFS, ITIL, Cobit, MCSO e Cisco • Pesquisas de vulnerabilidades/fraudes (Aplicações WEB) • Principais conferências – Brasil: Roadsec, BHACK, H2HC, Mind the Sec e Cyber Security Meeting – Portugal: 5th Infosec Week & Cyber Bootcamp e Confraria SI – Uruguay: OWASP LATAM Tour – Angola: 3ª CNSI (Conferência Nacional de Segurança Informática) –Canada: L'ASIQ - Association de la sécurité de l'information du Québec
- 3. • WANNCRY • POR QUÊ RANSOMWARE? • FORMAS DE INFECÇÃO • FUNCIONAMENTO • WANNACRY - FALHAS • CASES • RECOMENDAÇÕES AGENDA 3
- 4. 12 de Maio de 2017 4
- 6. Windows Vista Windows Server 2008 Windows 7 Windows Server 2008 R2 Windows 8.1 Windows Server 2012 Windows Server 2012 R2 Windows RT 8.1 Windows 10 Windows Server 2016 Server Core installation opt. WANNACRY MS017-10 – 14 de Março
- 7. WANNACRY Shadowbrokers – 15 de Abril
- 17. nmap -p445 --script smb-vuln-ms17-010 <target> Host script results: | smb-vuln-ms17-010: | VULNERABLE: | Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010) | State: VULNERABLE | IDs: CVE:CVE-2017-0143 | Risk factor: HIGH | A critical remote code execution vulnerability exists in Microsoft SMBv1 | servers (ms17-010). | | Disclosure date: 2017-03-14 | References: | https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143 | https://technet.microsoft.com/en-us/library/security/ms17-010.aspx |_ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ WANNACRY NMAP
- 21. EXPLOIT KITS
- 24. FUNCIONAMENTO
- 27. WANNACRY Funcionamento The filetypes it looks for to encrypt are .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
- 30. WANNACRY FALHAS
- 31. 31 1. Kill-switch: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com SHA256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c 2. 3 Hardcoded bitcoin 3. Blockchain: Law enforcement to track any attempt to anonymously cash out 4. Botão “Check payment” não funciona 5. É possível alterar a carteira de bitocin! WANNACRY Falhas Solução: • Um endereço de bitcoin por vítima Outros ransomwares: Possibilitar descriptografar uma amostra de arquivo
- 32. CASES
- 33. 33 CASE 1 Total de e-mails enviados: 3038 E-mails abertos: 1782 Quantidade de cliques no link: 301
- 34. 34 CASE 2 Locky Osiris 3.5 bitcoins = $845,00 RSA-2048 e AES-128
- 36. 36 CASE 3 Nemesis RSA e AES Bitcoin? $350,00
- 38. RECOMENDAÇÕES
- 39. 07/06/2017 39 • Perimeter Protections • Network Defense • Endpoint Protections • NAS Server • SIEM and Log Management • Backup and Recover • Awareness Training • Vulnerability Management • Incident Response RECOMENDAÇÕES OWASP - Anti-Ransomware https://www.owasp.org/index.php/OWASP_Anti-Ransomware_Guide_Project
- 41. Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece, mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas. (Sun Tzu)
- 43. EXCEL
- 44. 07/06/2017 44 • Perimeter Protections • Network Defense • Endpoint Protections • NAS Server • SIEM and Log Management • Backup and Recover • Awareness Training • Vulnerability Management • Incident Response RECOMENDAÇÕES OWASP - Anti-Ransomware https://www.owasp.org/index.php/OWASP_Anti-Ransomware_Guide_Project
- 45. Flávio K. Shiga Muito Obrigado! www.linkedin.com/in/fshiga Flavio.shiga@ibliss.com.br www.ibliss.com.br