Qualche giorno fa l'amministratore generale ha inviato un warning del tipo
Oggetto: WARNING: GARR-CERT-A-B-1803100820-0007 Nodo probabilmente infetto da wannacrypt su XXX.XXX.XXX.XXX
la macchina di frontiera aveva individuato un traffico relativo al malware wannacrypt per la chiamata su porta 80 al dominio di controllo di WannaCrypt
Porta locale: 49197
IP:porta C&C: 104.17.41.137:80
(www.iuqerfsodp9ifjaposdfjhgosurijf aewrwergwea.com)
Malware: wannacrypt
URL: /
il problema e' che la macchina di frontiera non era riusciuta a risolvere l'IP della macchina compromessa ma solo l'indirizzo di uscita fornito dal DHCP...c'era quindi da cercare il responsabile tra 256 computer distribuiti in diversi edifici. Come fare?
La prima ipotesi era quella di sniffare il traffico su porta 80 sullo switch in attesa che il client si collegasse al 104.17.41.137. Cosa lunga e poco efficace.
C'e' pero' da considerare che WannaCrypt si basa su una vulnerabilita' su protocollo SMB di Windows fino alla versione 7 o Windows Servers 2008 e precedenti...considerando che adesso i client della rete sono quasi tutti Mac i Win10 il campo si restringe in modo significativo
Usando nmap ho lanciato la seguente ricerca
ovvero la ricerca in tutti i computer della sottoclasse del servizio SMB aperto e facendomi fornire anche il tipo di sistema operativo installato
Nmap scan report for xxx.xxx.xxx.xxx Host is up (0.00052s latency). PORT STATE SERVICE 445/tcp open microsoft-ds MAC Address: F0:4D:XX:XX:XX:XX:XX (Dell) Host script results: | smb-os-discovery: | OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1) | OS CPE: cpe:/o:microsoft:windows_7::sp1:professional | Computer name: XXXXXXX | NetBIOS computer name: XXXXXX | Workgroup: XXXXXXX |_ System time: 2018-03-16T10:35:03+01:00
Una volta andato a controllare il client di persona e' emerso che la macchina non effettuava gli aggiornamenti automatici ed era quindi priva di patch di sicurezza. Problema trovato