Fortinet Security Fabric y Wannacry Ransomware

El 12 de mayo de 2017 el WanaCry Ransomware interrumpió el funcionamiento de cientos de organizaciones en docenas de países. El ransomware cifra documentos y archivos personales y críticos del sistema. Fortinet Security Fabric brinda soluciones ante esta amenaza.

fortinet security fabric

Es importante señalar que las soluciones de Fortinet FortiGate y Fortinet Security Fabric bloquean con éxito este ataque.

  • FortiGate IPS bloquea el exploit
  • FortiSandbox detecta el comportamiento malicioso
  • Nuestro motor AV detecta el malware junto con sus variantes
  • Nuestro filtro Web identifica los sitios objetivo y bloquea o permite apropiadamente
  • El ISFW de FortiGate detiene la propagación del malware

 

El comportamiento es similar a un gusano que explota el puerto 445 del servidor en busca de una puerta trasera. Si la puerta trasera está presente, la recargará, y si no la encuentra tomará una ruta de explotación ligeramente menos fiable. Por esta razón, recomendamos que las organizaciones (por ahora) bloqueen el puerto 445 desde Internet o, además, utilicen capacidades NGFW para bloquear el propio protocolo SMB.

El malware es modular. Esto significa que debido a que podría conceder privilegios de superusuario a los actores maliciosos en el dispositivo infectado, les permitiría descargar malware adicional y URL de spoof.

En un caso observado por Fortinet, el malware se aprovechó primero de la vulnerabilidad CVE-2017-0144 para obtener acceso al sistema.

 

TOR saliente

El malware descarga un cliente TOR y comienza a comunicarse con los servidores del protocolo TOR. Recomendamos bloquear el tráfico de TOR saliente. Puede realizar esto en dispositivos FortiGate utilizando las firmas de AppControl. Para ello, vaya a los perfiles de seguridad, el control de aplicaciones y la selección de agregar firma en “Sobrecargas de aplicación”.

Wannacry Ransomware

 

A continuación, agregue el protocolo Tor:

protocolo tor

Ahora puede ver qué está siendo bloqueado. Asegúrese de tener activada la directiva de aplicación firewall.

Protocolo TOR Fortinet

 

TOR entrante

Aunque no es necesario, es posible que también desee considerar el bloqueo del tráfico entrante procedente de la red TOR. El tráfico entrante procedente de la red TOR se parece a cualquier otro tráfico de Internet. Sin embargo, el punto de origen se produce en los nodos de salida TOR.

Una lista de nodos de salida bien conocidos se muestra y se actualiza en la base de datos de servicios de Fortinet. Puede usar esta lista pre-construida en una directiva de firewall. Si se permite que el malware se comunique, intentará conectarse a varios dominios maliciosos.

El motor de filtrado Web de Fortinet clasifica estos dominios conocidos como maliciosos y, si se configuran correctamente, deben bloquear estos dominios como parte de las políticas de firewall. Existe un interruptor kill en el malware que detiene su ejecución si encuentra que existe el dominio “www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com”. Si bien este dominio originalmente no existía, un investigador de malware en el Reino Unido lo ha registrado.

Para que el interruptor kill funcione, el malware debe poder comunicarse con el dominio kill switch. Fortinet ha decidido no categorizar el dominio kill switch como malicioso. Sin embargo, los informes a partir del 14 de mayo de 2017 identificaron una versión del malware que elimina el interruptor kill, lo que hace que este sea un medio ineficaz de mitigación.

De hecho, el interruptor kill ahora parece ser obsoleto, ya que el ataque sigue en curso y las muestras de estas nuevas olas incluyen nombres de dominio diferentes, o algunos no incluyen un interruptor.

 

Cómo ver el malware

Fortinet malware

 

Fortinet proporciona dos firmas IPS primarias para detectar el ataque. Estas son:

  • MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
  • Backdoor.Double.Pulsar Anti-Malware

 

Los motores de Fortinet Anti-Malware / Anti-Virus tienen firmas inteligentes habilitadas para detectar el malware:

  • W32 / Agent.AAPW! Tr
  • W32 / CVE_2017_0147.A! Tr
  • W32 / Farfli.ATVE! Tr.bdr
  • W32 / Filecoder_WannaCryptor.B! Tr
  • W32 / Filecoder_WannaCryptor.D! Tr
  • W32 / Gen.DKT! Tr
  • W32 / Gen.DLG! Tr
  • W32 / GenKryptik.1C25! Tr
  • W32 / Generic.AC.3EF991! Tr
  • W32 / Scatter.B! Tr
  • W32 / Wanna.A! Tr
  • W32 / Wanna.D! Tr
  • W32 / WannaCryptor.B! Tr
  • W32 / WannaCryptor.D! Tr
  • W32 / Zapchast.D! Tr

 

Tenga en cuenta que algunas firmas AV requieren que los dispositivos FortiGate se configuren utilizando las definiciones de antivirus extendidas.

En su dispositivo FortiGate usted deberá acceder a System-FortiGuard, y luego habilitar AV extendido e IPS extendido, si están disponibles.

Revise que el ransomware también dejará un archivo llamado ! Por favor , Léeme ! .txt con más instrucciones. El nombre del archivo puede cambiar ligeramente con cada infección.

 

 

Artículo original en el blog oficial de Fortinet (Inglés)

image_pdfimage_print