Archivos de etiquetas: Sophos

[UTIL] 130 muestras de malware que explota Meltdown y Spectre (incluye hashes)

Luego de unas semanas desde la divulgación de las vulnerabilidades en procesadores basados en x86, Meltdown y Spectre, ya se han descubierto al menos 130 muestras de malware que intenta explotar estas vulnerabilidades.
Estas vulnerabilidades permiten que atacantes eviten los mecanismos de aislamiento de memoria, de forma que acceden a datos restringidos como contraseñas, claves criptográficas, datos reservados de otras aplicaciones, etc.
Se recomienda cargar estas firmas en los sistemas de seguridad correspondientes.
Información entregada por laboratorios de AV-TEST:
SHA256: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Foro Económico Mundial: Ciber ataques se encuentran entre los 3 mayores riesgos para la sociedad moderna

Junto con los desastres naturales y el clima extremo; de esta forma el Foro Económico Mundial calificó a los ciber ataques, esto le otorga un nivel de riesgo incluso mayor que el terrorismo.
Un reporte advierte que el ransomware, el hacking al Internet de las Cosas (IoT) y los ataques industriales pueden ocasionar los mismos problemas que las otras causas descritas.
Uno de los mayores riesgos para las Naciones y su relación con Internet y los servicios conectados es el daño potencial a raíz de los ciber ataques, según un reporte desde el Foro Económico Mundial (WEF).
La amenaza de ciber ataques se encuentra sólo detrás de eventos de clima extremos y desastres naturales en términos de eventualmente causar un trastorno en los próximos 5 años, de acuerdo al Global Risks Report 2018 del Foro Económico Mundial. El WEF es un organismo internacional que reúne lideres políticos, económicos, académicos entre otros para ayudar a formar una agenda global.
El reporte destaca al ransomware en particular como ciber amenaza, indicando que el 64% de todos los correos de phishing enviados durante el 2017 contenían malware encriptador.
El Global Risks Report 2018 cita 2 grandes eventos como ejemplos del daño y alteración que pueden causar: el ataque de WannaCry, el cual afectó a más de 300.000 computadores en 150 países e impactó infraestructura a escala global (NHS de Reino Unido, Telefónica, LATAM, Dirección de transito en Australia, entre varios) y Petya, el cual causó pérdidas sobre los 300 millones de dólares a un gran número de organizaciones.
Sin embargo, esto es relativamente un bajo nivel comparado con lo que los ciber delincuentes podrían realizar a un nivel industrial o de infraestructura crítica.
“En el peor escenario, los atacantes pueden gatillar un quiebre en los sistemas que mantienen a la sociedad funcionando”, advierte el reporte.
El reporte del año anterior advirtió acerca del riesgo potencial de los dispositivos del Internet de las Cosas (IoT). Un año mas tarde y luego de varios incidentes de seguridad relacionados con IoT nada se ha hecho para minimizar esta amenaza, así los hackers cada vez mas ponen su atención en estos dispositivos como una puerta de acceso a las redes.
Los ciber criminales han aumentado exponencialmente la cantidad de objetivos posibles, debido al uso de que los servicios en la nube continuan creciendo y se espera que el IoT se expanda desde un estimado de 8 mil millones de dispositivos en 2017 a 20 mil millones en 2020, lo que implicaría que un ataque que hoy se denominaría a gran escala sea posteriormente considerado normal.
La mayoría de los ataques en sistemas críticos y estratégicos aún tendrían que ser más efectivos, pero el WEF indica que el creciente numero de intentos de ataque sugiere que el riesgo esta aumentando, especialmente cuando la arquitectura interconectada de los sistemas actualmente en el mundo indica que los ataques pueden causar golpes irreversibles a nuestro sistema social.
Mientras el reporte indica que el ciber riesgo está en aumento, indica cuánto hay que implementar para proteger a las organizaciones, y a la sociedad como un todo, de un ataque.
Las fricciones geopolíticas contribuyen a un aumento en la escala y la sofisticación de os ciber ataques. Al mismo tiempo la exposición a estos ataques aumentan a medida que las empresas dependen mas y mas de la tecnología. Se debiese asegurar la continuidad y resiliencia al cubrir la brecha económica y posibles pérdidas de igual forma que con una catástrofe natural.
Hacia el futuro, el reporte advierte sobre la posibilidad de guerra sin reglas si un conflicto entre estados llegase a escalar impredeciblemente debido a la falta de reglas de ciber guerra, lo que puede llevar a malos cálculos y un manto de incertidumbre lo que llevaría a daños hacia objetivos no intencionales.

Malware MaMi – macOS

Un nuevo malware que afecta a macOS (antes conocido como OSX) principalmente modifica los DNS del sistema afectado.
Este malware denominado como OSX/MaMi se caracteriza por la modificación de los DNS para que apunten a servidores controlados por los criminales presuntamente creadores de este malware, y la instalación de un certificado raíz.
De esta forma al intentar buscar una dirección, la respuesta de donde se encuentra ese servidor la da el DNS maligno en vez del de Google. Con esto se aseguran que una gran cantidad de personas puedan ver sus paginas de phishing sin sospechar mayormente de que se trata de una estafa.
Con la instalación del certificado consiguen que las páginas malignas que ellos preparan no levan sospechas en los navegadores al existir un certificado para estos sitios falsos.
Además permite que la comunicación entre el usuario y otro servicio sea fácilmente “espiable” por un ataque del tipo MitM (Man-in-the-Middle u hombre-en-el-medio) y así robar información como por ejemplo credenciales de correo, bancarias, privadas, etc…
Como si fuera poco lo ya indicado, este malware incluye funciones como ejecución de código remoto, descarga de archivo, control de mouse, etc. Por lo que se presume que su principal función es el espionaje.
Pero como no todo es catastrófico, los usuarios de Sophos ya se encuentran cubiertos ante esta amenaza. Cabe mencionar que Sophos fue elegido como uno de los mejores Anti Virus para Mac por la prestigiosa revisa especializada MacWorld, siendo el único AV gratuito de este listado.

Vulnerabilidad en todos los procesadores Intel, que hacer.

Diversos fabricantes han publicado parches e información de seguridad con la finalidad de mitigar estas vulnerabilidades, por lo que como proveedor de servicios de seguridad les hacemos llegar.
Esta semana se dio a conocer una vulnerabilidad en la arquitectura de todos los procesadores Intel, en resumen es un problema en el cual es posible acceder a sectores de memoria donde se guarda información del núcleo del Sistema Operativo.
Una falla fundamental en el diseño de los procesadores Intel está forzando el rediseño de los núcleos de Linux y Windows para evitar esta falla de seguridad a nivel de chip.
Programadores están en máxima capacidad para potenciar el núcleo de código abierto en el sistema de memoria virtual de Linux. Mientras se espera que Microsoft introduzca los cambios necesarios en sus Sistemas Operativos Windows el próximo martes de parchado.
Se estima que estas actualizaciones afecten el desempeño de los procesadores Intel. Estos efectos aún están bajo medición aunque se estima un impacto entre el 5% y el 30% en el desempeño.
La solución es básicamente separar la memoria del núcleo completamente de los procesos del usuario usando Kernel Page Table Isolation (KPTI), lo que recientemente fue posible revelar mediante un ataque denominado Forcefully Unmap Complete Kernel With Interrupt Trampolines (o F**KWIT) en el núcleo de Linux.
Cuando un programa necesita realizar cualquier acción como escribir un archivo o abrir una conexión de red, pasa el control temporalmente al procesador para que el núcleo realice la tarea. para realizar esta transición del usuario al núcleo y de vuelta lo mas rápida y eficientemente posible, el núcleo se presenta en todos los espacios de memoria virtual de los procesos, aún cuando no sea visible para los programas. Luego cuando se necesita el núcleo, el programa realiza una llamada al sistema, el procesador cambia al modo de núcleo y lo accede. Cuando está realizado, la CPU es indicada a volver al modo de usuario para re-entrar al proceso, mientras en el modo de usuario el código del núcleo y sus datos permanecen fuera de vista pero presentes en las tablas de paginación del proceso.
Los parches KPTI mueven el núcleo a una dirección completamente diferente a los procesos del usuario, de forma que no sea visible en absoluto. Con esto se pretende evitar que código maligno vulnere la protección mediante Kernel Adress Space Layout Randomization (KASLR). Este mecanismo de defensa usado por varios Sistemas Operativos para alojar componentes del núcleo en ubicaciones aleatorias en la memoria virtual.
Esto parece una buena solución, pero, los procesadores modernos realizan “ejecución especulativa”, al ejecutar una instrucción la CPU intenta predecir cual será la próxima instrucción que debe ejecutar, la prueba y si es válida la realiza. Hay una falta de seguridad en esta ejecución especulativa que al combinarse con lo anteriormente explicado permitiría eventualmente que un proceso a nivel de usuario pueda acceder directamente a instrucciones del núcleo y procesador, lo cual es peligroso.
¿Como afecta esto a usuarios Sophos?
El 3 de enero del presente año, Microsoft liberó un aviso de seguridad el cual incluye actualizaciones de emergencia para el problema, esto incluye contactar al fabricante de su Anti Virus para comfirmar que es compatible con el parche y a la vez definir una llave específica en el registro de Windows.
Sophos ha finalizado las pruebas de compatibilidad con la isntalación de este parche y con la modificaciáon del registro de Windows, confirmando de que no existen problemas de compatibilidad.
Sophos comenzará a agregar de forma automática la llave de registro a los siguientes productos de Sophos Endpoint y Server desde el 5 de enero de 2018:
Sophos Central Endpoints/Servers

Sophos Enterprise Console Endpoints/Servers

Preview subscriptionRecommended subscription

Sophos Endpoint StandaloneSophos Virtual Enviroment (SVE)UTM Managed EndpointsSophos Home

Los clientes que deseen aplicar el parche de inmediato, antes de que la actualización de Sophos lo realice automáticamente, pueden realizarlo de forma manual tal como se indica en el articulo de Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002.
Alternativamente es posible descargar y aplicar el parche sin la llave de registro.
Tome nota de que Microsoft indica que “además podría ser necesario instalar actualizaciones de firmware desde el fabricante de su dispositivo para protección adicional. Revise con el fabricante de su dispositivo para actualizaciones relevantes”. Para mayor información lea el artículo de Microsoft https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe. Sophos recomienda que realice pruebas antes de aplicar actualizaciones de firmware en ambientes productivos.
Además Sophos se encuentra evaluando el impacto en sus productos como XG Firewall, UTM y otros appliances que ejecutan Linux y contienen procesadores Intel para asegurarse de que están debidamente protegidos antes esta vulnerabilidad.
Parches e información de otros fabricantes/proveedores:
https://support.f5.com/csp/article/K91229003

Ransomware Scarab ataca a escala global

Una campaña con correos maliciosos está tomando forma, el mayor botnet de spam, Necurs, envía una nueva cadena de ransomware a una escala de 2 millones de correos por hora.
Entre el spam malicioso que se encuentra distribuyendo están el los troyanos Dridex y Trickbot, además de los ransomware Locky y Jaff, junto con una nueva versión de Scarab.

En estos correos se encuentra un script de VB y un adjunto comprimido en 7zip para realizar la descarga. Estos correos llegan con un adjunto en formato “Scanned from <MARCA_IMPRESORA>”.
Como siempre la principal recomendación es no abrir correos no esperados o de alguna otra forma sospechosos. Adicionalmente es grato saber que Sophos Antivirus detecta y previene este malware.
Para el próximo año se espera que el ransomware sea el principal método de ataque para los ciberdelincuentes, una excelente forma de prevención es Sophos Intercept X, el cual utiliza el comportamiento de las aplicaciones para evitar encriptaciones no solicitadas.
Información Técnica:
SHA-256:
Script: c7e3c4bad00c92a1956b6d98aae0423170de060d2e15c175001aaeaf76722a52
7zip: 7a60e9f0c00bcf5791d898c84c26f484b4c671223f6121dc3608970d8bf8fe4f
URL de descarga (bloquear):
hard-grooves[.]com/JHgd476?
pamplonarecados[.]com/JHgd476?
miamirecyclecenters[.]com/JHgd476?
———–
Adicionalmente se detectaron nuevos hashes y fuentes de amenazas, los cuales también se recomienda bloquear:
http://8 0.211.173.20:80/amnyu.arm 0255c6d7b88947c7bc82c9b06169e69d http://8 0.211.173.20:80/amnyu.arm 3e72bbab07516010ab537d7236c48a2c http://8 0.211.173.20:80/amnyu.arm 6c5cadcc9dbcac55b42d1347f4b51df1 http://8 0.211.173.20:80/amnyu.arm7 2e5ec99ef2cf8878dc588edd8031b249 http://8 0.211.173.20:80/amnyu.arm7 359527251c09f4ec8b0ad65ab202f1bb http://8 0.211.173.20:80/amnyu.arm7 4c21d1f6acfb0155eb877418bb15001d http://8 0.211.173.20:80/amnyu.arm7 5cd69f7c5cd6aef4f4b8e08181028314 http://8 0.211.173.20:80/amnyu.arm7 794f01740878252e8df257b0511c65df http://8 0.211.173.20:80/amnyu.arm7 b0791270cc6b180ff798440f416f6271 http://8 0.211.173.20:80/amnyu.arm7 eee4ff0e2c9482acea3251c9c2ce6daf http://8 0.211.173.20:80/amnyu.arm a6f11eba76debd49ee248b6539c4d83c http://8 0.211.173.20:80/amnyu.arm ccc8761335b2d829dff739aece435eac http://8 0.211.173.20:80/amnyu.arm dd10fb3ed22a05e27bca3008c0558001 http://8 0.211.173.20:80/amnyu.arm e090660bbc7c673bf81680648718e39e http://8 0.211.173.20:80/amnyu.m68k 1782f07f02d746c13ede8388329921e4 http://8 0.211.173.20:80/amnyu.m68k 4ccd3036cadcbe2a0c4b28ce4ad77b7b http://8 0.211.173.20:80/amnyu.m68k 84d737bc5a1821c2f21489695c2c3a71 http://8 0.211.173.20:80/amnyu.m68k 8f347206f06b05ea8d2e8ea03f4f92d4 http://8 0.211.173.20:80/amnyu.m68k 94353157ddcd3cb40a75a5ecc1044115 http://8 0.211.173.20:80/amnyu.m68k b1c66e2a2ed68087df706262b12ca059 http://8 0.211.173.20:80/amnyu.m68k b8aedf6ee75e4d6b6beeafc51b809732 http://8 0.211.173.20:80/amnyu.mips 0ee0fc76a8d8ad37374f4ac3553d8937 http://8 0.211.173.20:80/amnyu.mips 2aa0c53d7d405fa6ffb7ccb895fb895f http://8 0.211.173.20:80/amnyu.mips 56b74e34ddf0111700a89592b5a8b010 http://8 0.211.173.20:80/amnyu.mips 62fa57f007a32f857a7e1d9fb5e064eb http://8 0.211.173.20:80/amnyu.mips 633df071ac6f1d55193fc4c5c8747f2a http://8 0.211.173.20:80/amnyu.mips 6eed6b55c5cd893aa584894a07eec32f http://8 0.211.173.20:80/amnyu.mips 97c314a2a100ea4987e73e008225d3be http://8 0.211.173.20:80/amnyu.mpsl 09d98cbaa9794184841450221d410f15 http://8 0.211.173.20:80/amnyu.mpsl 21f1ab847a9b27f8aaabcafd9cf59756 http://8 0.211.173.20:80/amnyu.mpsl 33e1e2803bb70cd0d66911175782c6a1
http://8 0.211.173.20:80/amnyu.mpsl 4e63eccca00b01b66162fa5258d03956 http://8 0.211.173.20:80/amnyu.mpsl 7d2c1f3d81a2df7beea99552d0704c2d http://8 0.211.173.20:80/amnyu.mpsl 7e0f883f239c922a151aab2500400880 http://8 0.211.173.20:80/amnyu.mpsl e46cbc10309e970ec267afee496832c9 http://8 0.211.173.20:80/amnyu.ppc 3dadafe1cc9639a7d374682dafab954c http://8 0.211.173.20:80/amnyu.ppc 49e4b3e5d7302c2faf08c1ed585a89ca http://8 0.211.173.20:80/amnyu.ppc 80bcea07b752ae4306da5f24f6693bea http://8 0.211.173.20:80/amnyu.ppc 9e4caeada13676ddc5b7be44e03fe396 http://8 0.211.173.20:80/amnyu.ppc a40852f9895d956fe198cb2f2f702ebf http://8 0.211.173.20:80/amnyu.ppc a8bde89d2fe98268801b58f42214cdca http://8 0.211.173.20:80/amnyu.ppc e968bf902db104c91d3aaa0bb363f1bd http://8 0.211.173.20:80/amnyu.sh4 141930ed206ef5f076b2a233b390ea65 http://8 0.211.173.20:80/amnyu.sh4 1bdaf4cd21fb9cb42d971a25fb183d04 http://8 0.211.173.20:80/amnyu.sh4 25d3ddb85bf392c273dd93922199628c http://8 0.211.173.20:80/amnyu.sh4 39eddba755333e22841b2627a2a19e59 http://8 0.211.173.20:80/amnyu.sh4 485f2b2a684865ead274bba6931c95c9 http://8 0.211.173.20:80/amnyu.sh4 56afda94860e8d1ca8a7b9960769020d http://8 0.211.173.20:80/amnyu.sh4 9dc0c166e30922d1ea8da06ba46996dc http://8 0.211.173.20:80/amnyu.spc 3f0322c0b7379e492a17d3cb4fa2c82e http://8 0.211.173.20:80/amnyu.spc 53c60f58ce576071c71ede7df656e823 http://8 0.211.173.20:80/amnyu.spc 5db44876c3acc0b589c8d696c41b6413 http://8 0.211.173.20:80/amnyu.spc 651b186b04583f0067d4cc2d95565a95 http://8 0.211.173.20:80/amnyu.spc a18b4a6250f51c1f350b37e1187292fb http://8 0.211.173.20:80/amnyu.spc c5e1a57671dab607b8fa7363ab6582ab http://8 0.211.173.20:80/amnyu.spc e6cd9197d443fb9fa79ab103232e2b67 http://8 0.211.173.20:80/amnyu.x86 018a9569f559bfafbc433dc81caf3ec0 http://8 0.211.173.20:80/amnyu.x86 1663952daca0c49326fb8fa5585d8eec http://8 0.211.173.20:80/amnyu.x86 243d2c8ba1c30fa81043a82eaa7756e7 http://8 0.211.173.20:80/amnyu.x86 4b375509896e111ef4c3eb003d38077f http://8 0.211.173.20:80/amnyu.x86 6371b6b1d030ac7d2cb1b0011230f97f
http://8 0.211.173.20:80/amnyu.x86 64bda230a3b31a115a29e0afd8df5d8a http://8 0.211.173.20:80/amnyu.x86 ed825b8aadee560e5c70ffaa5b441438 http://8 0.211.173.20/amnyu.arm7 b0791270cc6b180ff798440f416f6271 http://8 0.211.173.20/amnyu.arm e090660bbc7c673bf81680648718e39e http://8 0.211.173.20/amnyu.m68k 4ccd3036cadcbe2a0c4b28ce4ad77b7b http://8 0.211.173.20/amnyu.mips 97c314a2a100ea4987e73e008225d3be http:// 80.211.173.20/amnyu.mpsl 7d2c1f3d81a2df7beea99552d0704c2d http:// 80.211.173.20/amnyu.ppc e968bf902db104c91d3aaa0bb363f1bd http:// 80.211.173.20/amnyu.sh4 485f2b2a684865ead274bba6931c95c9 http:// 80.211.173.20/amnyu.spc 5db44876c3acc0b589c8d696c41b6413 http:// 80.211.173.20/amnyu.x86 4b375509896e111ef4c3eb003d38077f http:// blacklister.nl/bins/mirai.arm be6165a3e131cc92d3f7d51284cf70bb http:// blacklister.nl/bins/mirai.arm5n c639bc6b50ab0be250147572956a9d6b http:// blacklister.nl/bins/mirai.arm6 8f9c5099e3749d0199262289c9deaa3d http:// blacklister.nl/bins/mirai.arm7 e508956188f2cb71605ae0e8fbdf4a64 http:// blacklister.nl/bins/mirai.i486 25846ce769f0bd5b204f440127d51f21 http:// blacklister.nl/bins/mirai.i686 d3c82dd5d512304efc6a42018f0bf2a7 http:// blacklister.nl/bins/mirai.m68k 3ef657efcfe16ad869a587d30480306f http:// blacklister.nl/bins/mirai.mips b4af22c2b3b1af68f323528ee0bc6637 http:// blacklister.nl/bins/mirai.mips64 1e1d6b41a13c97ad3754815021dd0891 http:// blacklister.nl/bins/mirai.mpsl 6adb31781db797712d759f564b9761b6 http:// blacklister.nl/bins/mirai.ppc 7936cc1d021664892c48408ec1c9143c http:// blacklister.nl/bins/mirai.ppc440fp fd6235e4e1cf4a0f6c2d609a7b1ffc55 http:// blacklister.nl/bins/mirai.sh4 5c8ef7f23f26e0e48ab527ef83874213 http:// blacklister.nl/bins/mirai.spc 7ce73df7fb50beda2f549f9695a23538 http:// blacklister.nl/bins/mirai.x86 539e9bf8c81bd3e9ae520fd74218a6b8 http:// blacklister.nl/bins/mirai.x86_64 d69e501480f03f06e4579fa13e47d04a

EsteemAudit: Exploit para RDP de la NSA. Sin parche oficial Microsoft

Existe una posibilidad latente de una “segunda ola” de ataques por malware, pues no sólo el protocolo SMB fue objetivo de los exploits creados por la NSA y que fueron expuestos el mes pasado.

Mientras Microsoft libera parches para las fallas en SMB, inclusive para versiones obsoletas de Windows, no ocurre esto en relación a otras herramientas de hackeo: “EnglishmanDentist”, EsteemAudit” y “ExplodingCan”.

EsteemAudit es otra peligrosa herramienta de hacking de Windows, desarrollada por la NSA, la cual ataca mediante el servicio RDP (puerto 3389) para equipos Windows XP y 2003. Como se trata de sistemas que se encuentran en End Of Life, Microsoft no ha liberado algún parche de emergencia para el exploit de EsteemAudit, por lo que existe una cantidad elevada de sistemas vulnerables de cara a Internet disponibles para atacar.

Este malware también puede ser usado como “gusano”, similar a WannaCry, lo que permitiría a atacantes propagarse por redes corporativas enteras y dejar una gran cantidad de sistemas vulnerables a acciones maliciosas como ransomware, espionaje, C&C y otros.

Ya existe historial de propagación de ransomware mediante RDP, por lo que la primera recomendación es la actualización de sistemas Windows fuera de soporte a versiones que se encuentran soportadas por Microsoft (2008 y superior). En caso de no ser posible, securizar el puerto de RDP mediante firewall o deshabilitarlo.

Vulnerabilidad de ejecución remota en Samba (SambaCry)

Se realizó el hallazgo y confirmación de una vulnerabilidad crítica en Samba, cuya permanencia se calcula de hace 7 años. Se le ha llamado SambaCry

Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).

Esta vulnerabilidad (CVE-2017-7494) puede permitir la ejecución de código remoto mediante el envío de una librería compartida a un recurso que permita escritura, con tal que el servidor la cargue y ejecute.

Afecta a versiones desde Samba 3.5.0 (Marzo de 2010) y posteriores.

Existen parches para remediar esta vulnerabilidad en el sitio de Samba: https://www.samba.org/samba/ftp/patches/security/samba-4.6.3-4.5.9-4.4.13-CVE-2017-7494.patch. Además existen versiones actualizadas con esta vulnerabilidad corregida (4.6.4, 4.5.10 y 4.4.14).

RedHat, Ubuntu y Slackware ya han publicado parches para sus distribuciones.

Adicionalmente se recomienda modificar la configuración de Samba en el archivo <<smb.conf>> y luego reiniciar el servicio. El parámetro “nt pipe support” se debe deshabilitar:

<<nt pipe support = no>>

Esta vulnerabilidad se encuentra presente en más de 480.000 equipos ejecutando Samba mediante el puerto 445, por lo que se denomina como “la versión Linux de EternalBlue”, utilizado por el ransomware WannaCry.

Es simple de explotar, sólo se requiere agregar una línea de código para ejecutar código malicioso en el sistema vulnerable:

<< simple.create_pipe(“ruta/objetivo.so”) >>

Además ya existe en Metaexploit.

Fuentes:

https://lists.samba.org/archive/samba-announce/2017/000406.html

https://www.samba.org/samba/security/CVE-2017-7494.html

Malware EternalRocks: utiliza más herramientas filtradas que WannaCry

Este lunes dio a conocer un nuevo malware relacionado con la filtración de herramientas utilizadas por la NSA (2 de ellas utilizadas por WannaCry), se trata de EternalRocks. Éste se replica utilizando 4 exploits desclasificados: EternalBlue, EternalRomance, EternalChampion y EternalSynergy; además de 3 herramientas: DoubePulsar, ArchiTouch y SMBTouch.

La primera etapa de este malware, UpdateInstaller.exe, descarga los componentes .NET necesarios para etapas posteriores TaskScheduler y SharpZLib desde internet, mientras baja a svchost.exe y taskhost.exe. 

El componente svchost.exe es utilizado para descargar, desempaquetar y ejecutar Tor desde archive.torproject.org junto con C&C (ubgdgno5eswkhmpy.onion) par solicitar mayores instrucciones como la instalación de componentes adicionales.

En su segunda etapa, otro taskhost.exe se descarga después de 24 horas también desde ubgdgno5eswkhmpy.onion y luego se ejecuta. Entonces baja el pack de exploit shadowbrokers.zipy descomprime los directorios payloads/, configs/ y bins/. Luego realiza un scan aleatorio a los puertos SMB (445) en Internet mientras ejecuta los exploits contenidos en bins/ y transmite la primera etapa mediante cargas del directorio payloads/. Además espera al proceso Tor por instrucciones adicionales de C&C.

Recomendación:

  • Instalación del parche MS17-010 para sistemas Windows, ya que en éste se encuentran remediadas las vulnerabilidades de propagación via SMB.
  • Evitar en lo posible la habilitación del protocolo SMBv1.
  • Bloquear en firewall el dominio <<ubgdgno5eswkhmpy.onion>>

PoC y muestras disponibles en la fuente original de esta información: https://github.com/stamparm/EternalRocks/

Este malware está cubierto por soluciones Sophos.