WannaCry : Aperçu du ransomware

Olivier Chatail Etude - Recherche, Forensics

Synthèse

Une attaque d’envergure a récemment fait parler d’elle : le ransomware WannaCry a déjà infecté plus de 230 000 postes dans près de 150 pays, principalement en Europe.

L’infection a lieu via l’exploitation de vulnérabilités récentes dans le protocole SMBv1.

Le CERT Devoteam recommande de mettre à jour les systèmes Microsoft Windows supportés avec le correctif MS17-010, publié depuis le 14 mars 2017.

Il est également recommandé d’appliquer le correctif KB4012598, exceptionnellement publié par Microsoft pour les systèmes considérés comme obsolètes (Windows XP, Windows Server 2003, Windows 8, Windows Vista, Windows Server 2008, WES09 et POSReady 2009).

De plus, il est conseillé de désactiver SMBv1 et de filtrer l’accès aux ports utilisés par SMB (TCP 139, 445 et UDP 137, 138) sur les serveurs directement exposés à l’extérieur de votre système d’information.

 

Illustration de la propagation de WannaCry ©MalwareTech

La spécificité WannaCry

Au delà du nombre de postes infectés, WannaCry se distingue par une méthode de réplication agressive via exploitation de vulnérabilité.

Le 14 Avril 2017, un groupe nommé ShadowBrokers a publié un certain nombre d’outils utilisé par l’équipe offensive de la NSA. Parmi ces outils se trouvent des binaires exploitant des vulnérabilités jusque là ignorées du grand public :

Le correctif Microsoft correspondant (MS17-010) a été un publié un mois avant l’apparition de ces outils.

Le ransomware WannaCry réutilise une technique d’exploitation découverte dans ce leak afin de se propager, il ne peut donc se répliquer (via ce moyen) que sur des postes non mis à jour.

Après infection du poste, le malware scanne des adresses IP de son réseau local puis des adresses sur Internet afin de découvrir d’autres postes susceptibles d’être compromis.

Un module Metasploit existe pour détecter une éventuelle exposition aux vulnérabilités corrigées par le patch MS17-010, il peut permettre de vérifier l’exploitabilité sans accès au « niveau de patch ».

 

L’erreur de conception

Le 12 Mai 2017, un chercheur de MalwareTech a découvert un comportement permettant de couper la propagation de WannaCry.

En analysant le malware, il a découvert que ce dernier avait une routine de coupure qui consiste en une requête DNS vers un domaine statique (non généré par un algorithme de DGA). Si la requête réussit, le malware n’active pas sa charge virale.

Cette fonctionnalité, qui a probablement été créée dans l’optique de détecter les sandboxes (qui répondent à toutes les requêtes DNS) a été détournée par le chercheur précedemment mentionné qui a tout simplement… réservé le nom de domaine.

En effet, l’auteur du ransomware a semble-t-il ignoré cette étape qui a permis, en achetant et activant ce domaine, d’activer la procédure de coupure.

 

Visite du domaine d »arrêt » WannaCry

 

Cette manœuvre permet de « désactiver » les versions de WannaCry vérifiant ce nom de domaine et étant connectées directement à internet (subtilité du code).

Un prochain article présentera l’autopsie du ransomware et de cette fonction de désamorçage par les ingénieurs.

De récents rapports font état de la propagation d’une version mise à jour de WannaCry, n’incorporant pas le désamorçage logique. Cette version n’est pas encore confirmée par les équipes de Devoteam, qui n’ont rencontré que des échantillons de « première version ».