{"id":3806,"date":"2017-05-15T09:58:21","date_gmt":"2017-05-15T07:58:21","guid":{"rendered":"http:\/\/www.laurentmarot.fr\/wordpress\/?p=3806"},"modified":"2017-05-15T16:17:17","modified_gmt":"2017-05-15T14:17:17","slug":"quand-wannacry-bouscule-mon-petit-quotidien","status":"publish","type":"post","link":"https:\/\/www.laurentmarot.fr\/wordpress\/?p=3806","title":{"rendered":"Quand WannaCry bouscule mon petit quotidien…"},"content":{"rendered":"
\"Wannacry-ransomware<\/a>

Wannacry-ransomware Infection Map<\/p><\/div>\n

Je n’avais pas pr\u00e9vu d’\u00eatre interview\u00e9 par Hit West sur le sujet… mais suivez bien mon intervention entre Nekfeu et Zayn \ud83d\ude42
\nPour plus de d\u00e9tails, voir mes notes sur le sujet ci-dessous.<\/p>\n

Extrait de l’article<\/strong> de Silicon.fr<\/a>:<\/p>\n

WannaCry<\/strong> est un ransomware<\/strong> dont la premi\u00e8re version a \u00e9t\u00e9 d\u00e9tect\u00e9e pour la premi\u00e8re fois le 10 f\u00e9vrier dernier par un chercheur de Malwarebytes.
\nLa souche a fait ses premiers pas lors d\u2019une br\u00e8ve campagne men\u00e9e le 25 mars dernier. Sa deuxi\u00e8me version, qui a d\u00e9marr\u00e9 ses ravages massifs le 12 mai, conserve les caract\u00e9ristiques essentielles d\u2019un ransomware : l\u2019envoi par un e-mail pi\u00e9g\u00e9, une pi\u00e8ce jointe (Word ou PDF) qui d\u00e9clenche l\u2019infection, un chiffrement des donn\u00e9es (documents, images, musique et autres) et une demande de ran\u00e7on en bitcoins afin de restaurer l\u2019acc\u00e8s aux informations prises en otage (dans le cas pr\u00e9sent, l\u2019\u00e9quivalent de 300 dollars).<\/em><\/p>\n

M\u00e9canisme d\u2019infection des plus banals + remerciements NSA \/ ShadowBrokers pour la large diffusion (cf la clef de d\u00e9chiffrement publi\u00e9e le 8 avril 2017 dans un article des ShadowBrokers intitul\u00e9 Don’t forget your base<\/a>) <\/p>\n

Heureusement Microsoft avait patch\u00e9 …<\/strong><\/p>\n

Microsoft Security Bulletin MS17-010 – Critical
\nSecurity Update for Microsoft Windows SMB Server (4013389)
\nPublished: March 14, 2017
\nVersion: 1.0<\/p>\n

Vendredi 12 mai 2017: gros phishing avec ver qui chiffre les disques + exploitation des vuln\u00e9rabilit\u00e9s NSA<\/p>\n

Excellente synth\u00e8se de NoLimitSecu https:\/\/www.nolimitsecu.fr\/wannacry\/<\/a> et article de Troy Hunt<\/a><\/p>\n

Validation Metasploit : https:\/\/www.rapid7.com\/db\/modules\/auxiliary\/scanner\/smb\/smb_ms17_010<\/a><\/p>\n

Kill switch iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com = \u00e9vitement de sandbox ?<\/p>\n

Grosse blague de la d\u00e9couverte par erreur 22-year-old from south-west England who works for Kryptos logic, an LA-based threat intelligence company.<\/em>
\nC’est une d\u00e9couverte accidentelle dans le sens o\u00f9 quand il a d\u00e9pos\u00e9 le nom de domaine il ne savait pas que cela stopperait le ver (sous certaines conditions): https:\/\/www.malwaretech.com\/2017\/05\/how-to-accidentally-stop-a-global-cyber-attacks.html<\/a><\/p>\n

Il d\u00e9clare m\u00eame \u00ab\u00a0My job is to look for ways we can track and potentially stop botnets (and other kinds of malware), so I\u2019m always on the lookout to pick up unregistered malware control server (C2) domains. In fact I registered several thousand of such domains in the past years<\/em>\u00ab\u00a0.<\/p>\n

Analyse par Virus total : https:\/\/www.virustotal.com\/en\/file\/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c\/analysis\/<\/a><\/p>\n

https:\/\/www.endgame.com\/blog\/wcrywanacry-ransomware-technical-analysis<\/p>\n

\"wcry\"<\/a>

wcry<\/p><\/div>\n

Du coup, je fais quoi ???<\/strong><\/p>\n

Synth\u00e8se des recommandations avec les outils que je ma\u00eetrise: Fighting WannaCry with Rapid7<\/p>\n

Le meilleur point de d\u00e9part est sans doute ce blog post publi\u00e9 le premier jour de l\u2019attaque: https:\/\/community.rapid7.com\/community\/infosec\/blog\/2017\/05\/12\/wanna-decryptor-wncry-ransomware-explained<\/a><\/p>\n

Quelques points int\u00e9ressants:
\n\u00b7 Le projet SONAR<\/a> nous donne des tendances sur les terminaux qui exposent le protocole SMB potentiellement vuln\u00e9rable.
\n\u00b7 Le projet HEISENBERG monitore \u00e9galement la recrudescence des scans, des attaques et des techniques
\n\u00b7 Base de vuln\u00e9rabilit\u00e9s: Nexpose<\/strong> int\u00e8gre bien un check depuis le 14\/03\/2017 et qui couvre semble-t-il toutes les versions vuln\u00e9rables (de XP \u00e0 Windows Server 2016)
\n\u00b7 Metasploit<\/strong>: Un module auxiliaire est int\u00e9gr\u00e9 dans la base Metasploit. Pas de panique, ce n\u2019est donc pas un exploit <\/strong>mais un bout de code non arm\u00e9 qui permet de tester si la machine est vuln\u00e9rable et ainsi r\u00e9pondre \u00e0 la question : est-ce que ma machine est correctement prot\u00e9g\u00e9e ? Ce peut \u00eatre int\u00e9ressant lors de l\u2019application d\u2019une contre-mesure par exemple ou sans disposer de Nexpose, si un patch est correctement appliqu\u00e9.
\n\u00b7 Une recherche dans la base \u00e0 partager : https:\/\/rapid7.com\/db\/search?utf8=%E2%9C%93&q=MS17-010&t=a<\/a><\/p>\n

CVE pour template Nexpose:<\/p>\n

CVE-2017-0143
\nCVE-2017-0144
\nCVE-2017-0145
\nCVE-2017-0146
\nCVE-2017-0147
\nCVE-2017-0148<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Je n’avais pas pr\u00e9vu d’\u00eatre interview\u00e9 par Hit West sur le sujet… mais suivez bien mon intervention entre Nekfeu et Zayn \ud83d\ude42 Pour plus de d\u00e9tails, voir mes notes sur le sujet ci-dessous. Extrait de l’article de Silicon.fr: WannaCry est un ransomware dont la premi\u00e8re version a \u00e9t\u00e9 d\u00e9tect\u00e9e pour la premi\u00e8re fois le 10 […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[20,47],"tags":[],"_links":{"self":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/3806"}],"collection":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3806"}],"version-history":[{"count":28,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/3806\/revisions"}],"predecessor-version":[{"id":3836,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/3806\/revisions\/3836"}],"wp:attachment":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3806"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3806"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3806"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}