Já não é mais novidade que o Ransomware WannaCry tem causado bastante dor de cabeça mundo afora, inclusive no Brasil.
Se você ainda desconhece o assunto, recomendo a leitura do seguinte link:
http://www.gazetadopovo.com.br/economia/nova-economia/virus-quesequestra-sistemas-se-espalha-pelo-mundo-e-afeta-empresas-brasileiras-7adstv8shpx2ll0gana3k9ggs
Para acompanhar os incidentes em tempo real:
https://intel.malwaretech.com/WannaCrypt.html
O IPS Suricata disponibilizou uma assinatura para detectar qualquer atividade de infecção associada ao Ransomware. A assinatura já está disponível via oinkmaster. De acordo com alguns relatos, a propagação do ataque foi “interrompida” quando um dos especialistas em segurança registrou o domínio, fazendo com que o vírus acredite que está dentro de um ambiente virtual (provável laboratório). Ou seja, assegure que a assinatura apenas *alerta* a atividade.
alert udp $HOME_NET any -> any 53 (msg:"ET TROJAN Possible WannaCry DNS Lookup"; \
content:"|01 00 00 01 00 00 00 00 00 00|"; depth:10; offset:2; \
content:"|03|www|29|iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea|03|com|00|"; nocase; \
distance:0; fast_pattern; reference:url,www.bleepingcomputer.com/news/security/telefonica-tells-employees-to-shut-down-computers-amid-massive-ransomware-outbreak/; \
classtype:trojan-activity; sid:2024291; rev:1;)
Também foi disponibilizada outra assinatura para detectar a exploração da falha no protocolo SMB (tanto no Snort como no Suricata), “impossibilitando” a propagação. Mas, ainda existe uma dificuldade… este tráfego é interno e o IPS precisa interceptar todos os fluxos (nem sempre será possível).
drop smb $HOME_NET any -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; \
flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; \
fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; \
flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)
“Conscientizem-se, a melhor proteção é a prevenção. Logo, a navegação de Internet no ambiente corporativo precisa ser restritiva“.
Já ativei a assinatura e espero não visualizar nenhum gatilho! 😉
[…] Agora, se a possibilidade de ver as estações da rede sofrendo um ataque de um Hansomware (como o WannaCry) preocupava bastante, imaginem o temor se o ataque propagar pelo Datacenter. Não queira passar por […]