WannaMine-haittaohjelma louhii, varastaa tunnuksia, leviää tehokkaasti ja osaa piiloutua

Kryptovaluuttaa louhiva WannaMine-haittaohjelma leviää organisaation sisäverkoissa verkkomadon tavoin. Louhimisen lisäksi se osaa varastaa leviämiseen tarvittavat pääsytiedot, sekä hyödyntää toiminnassa ja piiloutumisessa palvelinten ylläpitoon liittyviä työkaluja ja niiden tarjoamia mahdollisuuksia. Viime kuukausien aikana WannaMine-haittaohjelmasta on tehty havaintoja niin Suomessa kuin maailmalla. Artikkeli antaa ylläpitäjille ohjeita haittaohjelmalta suojautumisessa.

Yleisesti ottaen tiettyä yksittäistä tapaa, jolla WannaMine-haittaohjelma alun perin saastuttaa organisaation ei ole pystytty varmentamaan. Yleisimmin haittaohjelmia levitetään haitallisten liitetiedostojen avulla, mutta palvelinympäristöissä tämä vektori ei ole tyypillisin. Päivittämätön internetiin näkyvä haavoittuva palvelin voi toimia sisäänpääsyreittinä syvemmälle organisaation sisäverkkoon.

WannaMine-haittaohjelman ominaisuuksiin kuuluu mm. Mimikatz-työkalu, jonka avulla voi tietyin edellytyksin varastaa järjestelmään kirjautuneiden käyttäjien pääsytiedot. Näitä tietoja hyväksikäyttäen haittaohjelma leviää lateraalisesti organisaation sisäverkossa. WannaMine myös välittää varastetut pääsytiedot ulos organisaation verkosta HTTP GET -pyynnön avulla. Varastettujen pääsytietojen lisäksi haittaohjelman on raportoitu hyödyntävän EternalBlue -työkalun käyttämää jo paikattua MS17-010-haavoittuvuutta sisäverkoissa leviämiseen. Samaa haavoittuvuutta käytti hyväkseen WannaCry-haittaohjelma toukokuussa 2017.

WannaMine-haittaohjelma käyttää myös Windows-palvelinten ylläpitoon liittyviä työkaluja, kuten PowerShell ja WMI (Windows Management Instrumentation). PowerShell -komentojen avulla haittaohjelma mm. lataa sen toimintaan liittyviä vbs- ja ps1-skriptejä. PowerShell -komentoja käyttämällä haittaohjelma luo palvelimelle WMI-luokan, johon se piilottaa omia toiminnallisuuksiaan (mm. louhintatoiminto, mimikatz-komponentti ja automaattinen käynnistyminen).

Ohjeita ylläpitäjille:

  • Tarkista, että Windows-palvelimet ja -työasemat on päivitetty ajan tasalle.
    • WannaMine-haittaohjelmaan liittyen huomioi erityisesti MS17-010-päivitys, joka korjaa haittaohjelman leviämiseen käyttämän haavoittuvuuden.
  • Tarkista esimerkiksi Sysinternalsin Autoruns -työkalulla, löytyykö palvelimelta WMI Autorun entryjä, joita et tunnista.
  • Tarkista Windowsin Ajoitetut tehtävät (Task Scheduler) -toiminnosta, löytyykö palvelimelta käynnistyviä tehtäviä, joita et tunnista.
  • Pyri käyttämään palvelin- ja työasemakohtaisia admin-tunnuksia. Silloin Mimikatzin avulla varastetuilla tunnuksilla ei pääse liikkumaan verkossa lateraalisti tietokoneelta toiselle, koska tunnukset toimivat vain koneessa josta ne on varastettu.
  • Admin-salasanat kannattaa luoda vähintään 15 merkkiä pitkiksi, jolloin niiden tiiviste ei missään olosuhteissa tallennu heikommassa LM hash-muodossa.(Linkki)
  • Vaihda murretuksi epäiltyjen tunnusten salasanat
  • Käytä tunkeilijan havaitsemisjärjestelmää (Intrusion Detection System, IDS) tunnistamaan WannaMine-haittaohjelman liikennettä, ks. Snort-sääntö alla.
  • Rajoita mahdollisuuksia sisäverkossa liikkumiseen segmentoimalla verkko.
  • Tutustu ohjeisiin haittaohjelman etsimiseen ja poistamiseen liittyen. (Linkki)


Tunnistetietoja verkon ylläpitäjille:

  • Snort-sääntö (etsii "info" ja ".ps1" sisältöjä ulospäin porttiin 8000 suuntautuvassa HTTP GET -pyynnössä):
    • alert http $HOME_NET any -> $EXTERNAL_NET 8000 (msg:"AV TROJAN ?WannaMine Powershell Installer Request"; flow:established,to_server; content:"GET"; http_method; content:"info"; http_uri; content:".ps1"; http_uri; distance: 0; reference:md5,de1407a62448ca9edfb61ab3dfa25914; classtype:trojan-activity; sid:111; rev:1;)
  • Komentopalvelimen IP: 195.22.127.157
  • Varastetun datan välittämiseen käytetty HTTP GET -pyynnön muoto:
    • http://[komentopalvelin]/api.php?data=" + $data

Lisätietoja:


Päivityshistoria

Asiasanat: Tietoturva , Haittaohjelma , Kyberrikollisuus , Palvelin , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248