Académique Documents
Professionnel Documents
Culture Documents
Ao 59 de la Revolucin
Esta Alerta de Seguridad debe enviarse, por quien corresponda, a todas las entidades
que se le subordinan en todo el pas. As como, dar conocimiento de la recepcin de la
misma a la cuenta reporte@osri.gob.cu.
Hasta el momento de la emisin de esta Alerta, todas las mquinas han sido atacadas
mediante el exploit ETERNALBLUE, por lo que otra mquina infectada dentro de la red
interna ha sido la causante de esta infeccin.
PROCEDIMIENTO DE INFECCIN
La infeccin en el equipo se produce mediante otra mquina infectada utilizando la
vulnerabilidad dada a conocer en el Boletn MS17-010 de Microsoft y mediante accesos
a las sesiones de Escritorio Remoto (RDP por sus siglas en ingls).
Una vez ejecutado el cdigo daino se realizan las siguientes acciones en el equipo de
la vctima:
Comprueba la existencia de un dominio en Internet, si existe finaliza su
ejecucin.
Crea servicios de sistema.
Crea copias en determinadas carpetas.
Crea una entrada en el registro de Windows para asegurar su persistencia.
Extrae de un recurso incrustado una serie de archivos que utilizar en el proceso
de cifrado posterior.
Crea numerosos subprocesos (hilos) para distintas tareas.
CARACTERSTICAS TCNICAS
El cdigo daino est dividido en varias partes:
El ejecutable inicial que lleva como recurso otro ejecutable, y otro segundo ejecutable,
el cual a su vez tiene un archivo ZIP con numerosos ficheros.
En esos archivos hay dos ejecutables ms, el descifrador y una DLL que es la
encargada de realizar la carga daina en el sistema de cifrado.
C:\WINDOWS\tasksche.exe /i
reg.exe add
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vRANDOM_CHARS
/t REG_SZ /d '\%COMMON_APPDATA%\tasksche.exe\'' /f
SET ow = WScript.CreateObject("WScript.Shell")
SET om = ow.CreateShortcut("C:\@WanaDecryptor@.exe.lnk")
om.TargetPath = "C:\@WanaDecryptor@.exe"
om.Save
Finalmente el cdigo daino finaliza los procesos relacionados con bases de
datos para garantizar el acceso y cifrado de este tipo de ficheros:
CIFRADO Y OFUSCACIN
Antes de comenzar el cifrado del equipo, el cdigo daino verifica la existencia de dos
algoritmos de Exclusin Mutua (mutex por su abreviatura en ingls) en el sistema. En
caso de existir alguno de ellos no realiza cifrado:
'Global\MsWinZonesCacheCounterMutexA'
El cdigo daino genera una clave nica aleatoria por cada fichero cifrado. Esta clave,
de 128 bits y empleada con el algoritmo de cifrado Advanced Encryptor Estndar (AES)
que es una base de cifrado por bloques, se almacena cifrada con una clave RSA
pblica en una cabecera personalizada que el cdigo daino aade en todos los
ficheros cifrados.
El descifrado de los archivos slo es posible si se dispone de la clave privada RSA
correspondiente a la clave pblica empleada para cifrar la clave AES, que es la usada
para cifrar los ficheros.
La clave aleatoria AES es generada con la funcin de Windows CryptGenRandom,
que no contiene debilidades conocidas, por lo que actualmente no es posible
desarrollar ninguna herramienta para descifrar estos ficheros sin conocer la clave
privada RSA utilizada.
El cdigo daino crea varios subprocesos (hilos) y realiza el siguiente proceso para el
cifrado de los documentos:
Lee el fichero original y lo copia aadindole la extexin .wnryt
Crea una clave AES de 128 bits aleatoria
Cifra el fichero copiado utilizando el algoritmo AES
Aade una cabecera con la clave AES cifrada con la clave pblica RSA que lleva
la muestra
Sobrescribe el fichero original con la copia cifrada
Finalmente renombra el fichero original con la extensin .wnry
Por cada directorio que el cdigo daino ha terminado de cifrar, genera los ficheros:
@Please_Read_Me@.txt
@WanaDecryptor@.exe
reg.exe add
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vRANDOM_CHARS
/t REG_SZ /d '\%COMMON_APPDATA%\tasksche.exe\'' /f
CONEXIONES DE RED
El cdigo daino crea dos subprocesos (hilos):
La primera accin de esta funcin consiste en obtener el DLL stub (cdigo utilizado
como sustituto de alguna otra funcionalidad) que se usar para componer el payload
Una vez tiene generadas dichas IPs procede a lanzar el exploit con el cdigo mostrado
a continuacin:
Al hacerse uso de un exploit con cdigo de kernel (ring0) todas las operaciones
realizadas por el cdigo daino disponen de los privilegios de SYSTEM.
ARCHIVOS RELACIONADOS
El cdigo daino puede presentar una serie de archivos en el sistema comprometido
dependiendo de su estado de ejecucin, a continuacin se listan los archivos que
pueden existir:
DETECCIN
Para detectar si un equipo se encuentra, o ha estado infectado, se ejecutar alguna de
las herramienta de Mandiant como el Mandiant IOC Finder o el colector generado por
RedLine@ con los indicadores de compromiso generados para su deteccin. Tambin
se podr usar Herramientas del Sistema como el Editor del Registro de Windows.
Nombre: mssecsvc2.0
Descripcin: Microsoft Security Center (2.0) Service
Ruta: %WINDIR%\mssecsvc.exe
Comando: %s -m security
En el caso de que el cdigo daino haya ejecutado la carga daina del cifrado de
archivos se podr ver la siguiente pantalla en el idioma del sistema:
@Please_Read_Me@.txt
@WanaDecryptor@.exe
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
REFERENCIAS
Panda Security.
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4476-
herramienta-para-prevenir-la-infeccion-por-el-cdigo daino-wannacry.html
En espera de su atencin,
OSRI