1

Cómo detectar las variantes del ransomware NotPetya

El reciente rescate de NotPetya ha interrumpido instalaciones como las redes eléctricas y de instituciones financieras de todo el mundo. Los primeros análisis demuestran que se trata de una versión actualizada de la versión anterior del ransomware, WannaCry.

Por: Anish Sharma, Ingeniero técnico en seguridad informática de Gigamon

Como con WannaCry, NotPeyta también utiliza SMB (Server Message Block) Sin embargo, a diferencia de WannaCry, también cifra el Master Boot Record (MBR) del huésped. Se propaga utilizando el exploit EternalBlue. Después de un reinicio, el host se bloquea y niega el acceso del usuario. El ransomware aprovecha el hecho de que SMB funciona en el puerto 445, que generalmente se deja abierto para compartir archivos. Antes de que la explotación actual atraviese la red, intentará abrir las conexiones al puerto TCP 445.

GigaSECURE puede detectar vulnerabilidades

La plataforma de seguridad de Gigamon GigaSECURE puede ayudar a segregar el tráfico SMB en su red para su inspección por herramientas de seguridad. Utilizando GigaSECURE Flow Mapping Engine, un administrador puede extraer flujos relevantes en la red que coincidan con el puerto TCP 445, enviando sólo tráfico SMB a herramientas de seguridad para inspección, reduciendo así el ruido para optimizar el rendimiento de la herramienta.

Figura 1: Extracción de flujos relevantes en los puertos TCP 445 y 139 para enviar a herramientas de seguridad.

Filtrado de sesión de aplicaciones

Adicionalmente, el filtrado de sesión de aplicaciones de Gigamon (Gigamon Application Session Filtering), puede buscar sistemas que utilizan SMBv1 y permitirle migrar a SMBv2 o aislarlos hasta que pueda migrar. Con ASF, puede detectar tráfico SMBv1 utilizando nuestros criterios de filtrado. Para detectar SMBv1, el filtro apropiado \ xFF \ x53 \ x4d \ x42 se puede utilizar en la plataforma de entrega de seguridad GigaSECURE.

Figura 2: Filtrado de tráfico SMBv1 para enviar a herramientas de seguridad.

Ahora que se ha llegado a la configuración de esto, podrá detectar y procesar cualquier tráfico que coincida con esta regla. Recuerde: Confíe, pero verifique.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.