Fortinet Security Fabric y WannacryRansomware

El 12 de mayo de 2017 el WanaCry Ransomware interrumpió el funcionamiento decientos de organizaciones en docenas de países. El ransomware cifradocumentos y archivos personales y críticos del sistema. Fortinet SecurityFabric brinda soluciones ante esta amenaza.

Es importante señalar que las soluciones de Fortinet FortiGate y FortinetSecurity Fabric bloquean con éxito este ataque.

FortiGate IPS bloquea el exploitFortiSandbox detecta el comportamiento maliciosoNuestro motor AV detecta el malware junto con sus variantesNuestro filtro Web identifica los sitios objetivo y bloquea o permiteapropiadamenteEl ISFW de FortiGate detiene la propagación del malware

El comportamiento es similar a un gusano que explota el puerto 445 delservidor en busca de una puerta trasera. Si la puerta trasera está presente,la recargará, y si no la encuentra tomará una ruta de explotación ligeramentemenos fiable. Por esta razón, recomendamos que las organizaciones (por ahora)bloqueen el puerto 445 desde Internet o, además, utilicen capacidades NGFWpara bloquear el propio protocolo SMB.

El malware es modular. Esto significa que debido a que podría concederprivilegios de superusuario a los actores maliciosos en el dispositivoinfectado, les permitiría descargar malware adicional y URL de spoof.

En un caso observado por Fortinet, el malware se aprovechó primero de lavulnerabilidad CVE-2017-0144 para obtener acceso al sistema.

TOR saliente

El malware descarga un cliente TOR y comienza a comunicarse con losservidores del protocolo TOR. Recomendamos bloquear el tráfico de TORsaliente. Puede realizar esto en dispositivos FortiGate utilizando las firmasde AppControl. Para ello, vaya a los perfiles de seguridad, el control deaplicaciones y la selección de agregar firma en “Sobrecargas de aplicación”.

A continuación, agregue el protocolo Tor:

Ahora puede ver qué está siendo bloqueado. Asegúrese de tener activada ladirectiva de aplicación firewall.

TOR entrante

Aunque no es necesario, es posible que también desee considerar el bloqueodel tráfico entrante procedente de la red TOR. El tráfico entrante procedentede la red TOR se parece a cualquier otro tráfico de Internet. Sin embargo, elpunto de origen se produce en los nodos de salida TOR.

Una lista de nodos de salida bien conocidos se muestra y se actualiza en labase de datos de servicios de Fortinet. Puede usar esta lista pre-construidaen una directiva de firewall. Si se permite que el malware se comunique,intentará conectarse a varios dominios maliciosos.

El motor de filtrado Web de Fortinet clasifica estos dominios conocidos comomaliciosos y, si se configuran correctamente, deben bloquear estos dominios

como parte de las políticas de firewall. Existe un interruptor kill en elmalware que detiene su ejecución si encuentra que existe el dominio “www [.]Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com”. Si bien este dominiooriginalmente no existía, un investigador de malware en el Reino Unido lo haregistrado.

Para que el interruptor kill funcione, el malware debe poder comunicarse conel dominio kill switch. Fortinet ha decidido no categorizar el dominio killswitch como malicioso. Sin embargo, los informes a partir del 14 de mayo de2017 identificaron una versión del malware que elimina el interruptor kill,lo que hace que este sea un medio ineficaz de mitigación.

De hecho, el interruptor kill ahora parece ser obsoleto, ya que el ataquesigue en curso y las muestras de estas nuevas olas incluyen nombres dedominio diferentes, o algunos no incluyen un interruptor.

Cómo ver el malware

Fortinet proporciona dos firmas IPS primarias para detectar el ataque. Estasson:

MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.ExecutionBackdoor.Double.Pulsar Anti-Malware

Los motores de Fortinet Anti-Malware / Anti-Virus tienen firmas inteligenteshabilitadas para detectar el malware:

W32 / Agent.AAPW! TrW32 / CVE_2017_0147.A! Tr

W32 / Farfli.ATVE! Tr.bdrW32 / Filecoder_WannaCryptor.B! TrW32 / Filecoder_WannaCryptor.D! TrW32 / Gen.DKT! TrW32 / Gen.DLG! TrW32 / GenKryptik.1C25! TrW32 / Generic.AC.3EF991! TrW32 / Scatter.B! TrW32 / Wanna.A! TrW32 / Wanna.D! TrW32 / WannaCryptor.B! TrW32 / WannaCryptor.D! TrW32 / Zapchast.D! Tr

Tenga en cuenta que algunas firmas AV requieren que los dispositivosFortiGate se configuren utilizando las definiciones de antivirus extendidas.

En su dispositivo FortiGate usted deberá acceder a System-FortiGuard, y luegohabilitar AV extendido e IPS extendido, si están disponibles.

Revise que el ransomware también dejará un archivo llamado ! Por favor ,Léeme ! .txt con más instrucciones. El nombre del archivo puede cambiarligeramente con cada infección.

Artículo original en el blog oficial de Fortinet (Inglés)