giovedì 12 aprile 2018

Alla ricerca di WannaCrypt

Ogni tanto ritorno sul luogo del delitto e mi trovo a giocare con una sottorete di una LAN piuttosto complessa che e' distribuita in diversi punti di Firenze. Esiste una organizzazione gerarchica per cui sono presenti nei vari uffici degli amministratori di rete locali (ruolo che ho ricoperto per un periodo di tempo anche io) che fanno capo ad un amministratore generale responsabile delle macchine di frontiera.

Qualche giorno fa l'amministratore generale ha inviato un warning del tipo

Oggetto: WARNING: GARR-CERT-A-B-1803100820-0007 Nodo probabilmente infetto da wannacrypt su XXX.XXX.XXX.XXX

la macchina di frontiera aveva individuato un traffico relativo al malware wannacrypt per la chiamata su porta 80 al dominio di controllo di WannaCrypt

 Porta locale: 49197
 IP:porta C&C: 104.17.41.137:80
(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)
 Malware: wannacrypt
 URL: /

il problema e' che la macchina di frontiera non era riusciuta a risolvere l'IP della macchina compromessa ma solo l'indirizzo di uscita fornito dal DHCP...c'era quindi da cercare il responsabile tra 256 computer distribuiti in diversi edifici. Come fare?

La prima ipotesi era quella di sniffare il traffico su porta 80 sullo switch in attesa che il client si collegasse al 104.17.41.137. Cosa lunga e poco efficace. 
C'e' pero' da considerare che WannaCrypt si basa su una vulnerabilita' su protocollo SMB di Windows fino alla versione 7 o Windows Servers 2008 e precedenti...considerando che adesso i client della rete sono quasi tutti Mac i Win10 il campo si restringe in modo significativo

Usando nmap ho lanciato la seguente ricerca

nmap --script smb-os-discovery -p 445 XXX.XXX.XXX.1/24 

ovvero la ricerca in tutti i computer della sottoclasse del servizio SMB aperto e facendomi fornire anche il tipo di sistema operativo installato

Nmap scan report for xxx.xxx.xxx.xxx
Host is up (0.00052s latency).
PORT    STATE SERVICE
445/tcp open  microsoft-ds
MAC Address: F0:4D:XX:XX:XX:XX:XX (Dell)

Host script results:
| smb-os-discovery: 
|   OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
|   OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
|   Computer name: XXXXXXX
|   NetBIOS computer name: XXXXXX
|   Workgroup: XXXXXXX
|_  System time: 2018-03-16T10:35:03+01:00


Una volta andato a controllare il client di persona e' emerso che la macchina non effettuava gli aggiornamenti automatici ed era quindi priva di patch di sicurezza. Problema trovato

Nessun commento:

Posta un commento

Debugger integrato ESP32S3

Aggiornamento In realta' il Jtag USB funziona anche sui moduli cinesi Il problema risiede  nell'ID USB della porta Jtag. Nel modulo...