2017-05 Boletin Informativo CSIRT
2017-05 Boletin Informativo CSIRT
Entel CyberSecure
12 de mayo de 2017
_1
Entel CiberSecure
1. Introducción
En referencia al ataque de Ransomware detectado inicialmente en España (Empresa Telefónica),
con afectación masiva en equipos Windows de múltiples versiones, la cual utiliza una versión del
malware WannaCry, sobre lo cual se añade la siguiente información.
Se han detectado ataques en 74 países a rededor del mundo, siendo Rusia el principal afectado
_2
Entel CyberSecure
_3
Entel CiberSecure
Esta vulnerabilidad fue parchada por Microsoft el 14 de Marzo del 2017 bajo el código ms17_010,
de la mano de la filtración de las herramientas de la CIA por parte del equipo de Hackers
Shadowbrokers. Esta filtración contenía los exploits necesarios para aprovecharse de esta
vulnerabilidad, incluso con una interfaz gráfica para su facilidad de uso. Existen múltiples guías en
internet que explicaban paso a paso (con fotos y videos) sobre como explotar esto.
Según el CCN-CERT de España el ransomware utilizado es el WannaCry, el cual una vez infectado el
equipo encripta todos los archivos del disco duro y solicita una recompensa por ello la cual debe
pagarse a través de Bitcoins y la red TOR.
Nota: Al ser un ataque en progreso, no existe una completa certeza de cómo se desarrolla, sin
embargo lo descrito en esta sección es producto del análisis y la información compartida entre
centros de Ciberseguridad. Una vez mitigado el Ciberataque se realizarán todos los análisis forenses
para detectar el origen y falla explotada.
4. Sistemas Afectados
Las siguientes versiones Windows que tengan el servicio SMB habilitado pueden verse afectados:
_4
Entel CyberSecure
5. Contexto Técnico
A continuación se describirán los diferentes aspectos técnicos del ataque, como vectores,
vulnerabilidades explotadas, hashes, reglas de snort, etc.
Tipo Hash
FileHash-SHA256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
FileHash-SHA256 b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
FileHash-SHA256 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd
FileHash-SHA256 ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
FileHash-SHA256 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
FileHash-SHA256 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
FileHash-SHA256 f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85
FileHash-MD5 509c41ec97bb81b0567b059aa2f50fe8
FileHash-MD5 7bf2b57f2a205768755c07f238fb32cc
FileHash-MD5 7f7ccaa16fb15eb1c7399d422f8363e8
FileHash-MD5 84c82835a5d21bbcf75a61706d8ab549
FileHash-MD5 db349b97c37d22f5ea1d1841e3c89eb4
FileHash-MD5 f107a717f76f4f910ae9cb4dc5290594
FileHash-SHA1 51e4307093f8ca8854359c0ac882ddca427a813c
FileHash-SHA1 87420a2791d18dad3f18be436045280a4cc16fc4
FileHash-SHA1 e889544aff85ffaf8b0d0da705105dee7c97fe26
FileHash-SHA1 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
FileHash-SHA1 bd44d0ab543bf814d93b719c24e90d8dd7111234
FileHash-SHA256 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
FileHash-SHA256 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79
_5
Entel CiberSecure
msft-cve-2017-0143 msft-cve-2017-0144
EternalBlue EternalSynergy
MS17-010 msft-cve-2017-0145 msft-cve-2017-0146
EternalRomance EternalChampion
msft-cve-2017-0147 msft-cve-2017-0148
auxiliary/dos/windows/smb/ms09_050_smb2_negotiate_pidhig
h,
EducatedScholar MS09-050
auxiliary/dos/windows/smb/ms09_050_smb2_session_logoff,
exploits/windows/smb/ms09_050_smb2_negotiate_func_index
auxiliary/scanner/smb/ms08_067_check
EclipsedWing MS08-067
exploits/windows/smb/ms08_067_netapi
_6
Entel CyberSecure
_7
Entel CiberSecure
_8
Entel CyberSecure
_9
Entel CiberSecure
_10
Entel CyberSecure
Campo Valor
MD5 7bf2b57f2a205768755c07f238fb32cc
SHA1 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
SHA256 b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
91a39e919296cb5c6eccba710b780519d90035175aa460ec6dbe631324e5e5753bd8d87f395
SHA512
b5481bcd7e1ad623b31a34382d81faae06bef60ec28b49c3122a9
CRC32 4E6C168D
SSDEEP 3072:Rmrhd5U1eigWcR+uiUg6p4FLlG4tlL8z+mmCeHFZjoHEo3m:REd5+IZiZhLlG4AimmCo
% 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79
% 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
% b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
% ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
_11
Entel CiberSecure
_12
Entel CyberSecure
13. Contacto
Nombre Mail de contacto
Carlos Gaule [email protected]
Director Centro CiberInteligencia Entel
Gedeón Carrillo [email protected]
Service Delivery Manager CiberSeguridad Entel
Cyril Delaere [email protected]
Subgerente de CiberSeguridad Entel
14. Fuentes
https://otx.alienvault.com/pulse/5915db384da2585b4feaf2f6/
https://otx.alienvault.com/pulse/5915d8374da2585a08eaf2f6/
https://otx.alienvault.com/pulse/5915abfa0d3cde45e3669850/
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-
ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
https://malwr.com/analysis/YTllMjk1N2I0MTlmNGRlMmFhY2UyOTExMjg5ZTFiYjA/
https://isc.sans.edu/forums/diary/ETERNALBLUE+Windows+SMBv1+Exploit+Patched/22304/
https://www.euroweeklynews.com/3.0.15/news/on-euro-weekly-news/spain-news-in-
english/144385-telefonica-allegedly-hacked-and-held-to-ransom
https://www.hybrid-
analysis.com/sample/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25
?environmentId=100
http://www.bbc.com/news/health-39899646
Alerta CCN-CERT: https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-
masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
Microsoft Security Bulletin: https://technet.microsoft.com/en-us/library/security/ms17-
010.aspx#ID0ERPAG
Información sobre: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-
smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-
2008-r2,-windows-8,-and-windows-server-2012
https://support.microsoft.com/en-us/help/204279/direct-hosting-of-smb-over-tcp-ip
Laboratorio interno CCI-ENTEL
_13
Entel CiberSecure
_14