Durante um procedimento de resposta a incidente essa semana, nos deparamos com o WannaMine, um malware minerador de criptomoedas capaz de se movimentar lateralmente em uma rede corporativa utilizando técnicas de pass-the-hash ou exploração da vulnerabilidade EternalBlue (MS17–010), que ficou famosa no ano passado por ter sido explorada pelo WannaCry — daí a semelhança do nome.

O malware, inicialmente descoberto pela Panda Security [1] em outubro de 2017, usa uma abordagem fileless, ou seja, não cria arquivos no sistema impactado. O conteúdo malicioso é carregado em memória , o que dificulta a tarefa dos softwares de anti-vírus e maximiza as chances de sucesso da campanha, que vem fazendo vítimas no Brasil, inclusive.

Indicadores de Comprometimento (IOCs)

A análise deste do malware e do vetor inicial de infecção estão em curso, mas os IOCs levantados até o momento podem ajudá-lo a verificar a eventual existência de máquinas infectadas no seu ambiente bem como evitar a comunicação destas com os servidores de comando e controle e pools de mineração.

Endereços utilizados pelo malware para download do payload adequado a arquitetura do computador da vítima (32 ou 64 bits):

hxxp://172.247.116.8:8000
hxxp://107.179.67.243:8000
hxxp://118.184.48.95:8000

Antes de realizar a conexão na porta TCP/8000, o malware faz um teste de conexão com ICMP (ping) para estes mesmos endereços. Este também pode ser um indicador de comprometimento.

Conexões com o pool de mineração:

xmr-eu1.nanopool.org:14444
xmr-eu2.nanopool.org:14444
xmr-us-east1.nanopool.org:14444
xmr-us-west1.nanopool.org:14444
xmr-asia1.nanopool.org:14444
mine.moneropool.com:80
mine.xmrpool.net:80

Hashes (sha256) dos scripts powershell

in3.ps1: f6e75f0346425209c92217da882fca45d7004e683c8122a48a7b3bcec5356e1d
in6.ps1:a9431ad6407aee17a444b61c83eaebca3cff79780daf9d456c81573bd5413984

Recomendações adicionais

Verifique se o patch MS17–010, que corrige a vulnerabilidade do SMB conhecida por EternalBlue, foi aplicado em todos os servidores e estações da sua organização. Inclua neste levantamento estações de funcionários ou terceiros que conectam-se ao ambiente por meio de VPN e que possam ter acesso a compartilhamentos Windows.

É importante também que reveja a segmentação da rede de forma a minimizar as chances de uma eventual movimentação lateral entre, por exemplo, estações de diferentes departamentos ou unidades de negócio.

Adicionalmente, suspeite de estações ou servidores do seu ambiente que apresentem um consumo elevado de CPU durante longos períodos. Os mineradores tendem a exaurir este recurso do sistema. A equipe do NOC/SOC deve estar atenta também a este indicador.

Leave a Reply

Your email address will not be published.

Comment

Name

Email

Url


× Como podemos ajudar?