NewsMay 16, 2017 @ 10:25 AM

Protect Against the WannaCry Ransomware Attack With IBM X-Force Threat Intelligence With QRadar

Proteja-se contra o ataque do ransomware WannaCry com o IBM X-Force Threat Intelligence com QRadar

Aproximadamente às 10h30 (Horário Padrão do Leste) na última sexta-feira, a equipe IBM Security ficou ciente de um ataque em grande escala na Europa. Este malware, chamado WannaCry, é um propagador de ransomware que localiza e infecta caixas utilizando uma vulnerabilidade do SMB (MS17-010).

O IBM X-Force está investigando essa atividade e, no momento, recomenda que os clientes verifiquem se já corrigiram a vulnerabilidade MS17-010 e se suas assinaturas de antivírus estão atualizadas.

IBM assume o WannaCry

Como parte da nossa pesquisa para ajudar as vítimas a se recuperarem do ataque, nós e nossa equipe Incident Response and Intelligence Services (IRIS) coletamos dados para ajudar outras organizações a minimizarem a ameaça. É assim que a sua organização pode usufruir do IBM X-Force Threat Intelligence em conjunto com nosso sistema QRadar para detectar infecções, sejam elas em tempo real ou já ocorridas.

Nós já identificamos endereços IP, hashes de malware, nomes de malware e URLs associados a este ataque sofisticado. Basta seguir essas coleções no X-Force Exhange elas fluirão automaticamente para os conjuntos de referência no QRadar. Esses conjuntos de referência se tornarão ferramentas poderosas para alertar a sua organização no caso desse tipo de ataque. Podemos acionar delitos com base nessa inteligência em ameaças. À medida que mais informações ficam disponíveis no X-Force Exchange, elas são atualizadas automaticamente na sua implementação do QRadar.

Assista a este vídeo para saber como proteger a sua rede contra o WannaCry usando o QRadar e o X-Force Exchange:

https://www.youtube.com/watch?v=8W_zH-AsNH8&feature=youtu.be

Respondendo a ataques

Como parte da plataforma IBM Security Operations and Response, aconselhamos os usuários a ficarem sempre em alerta corrigindo, bloqueando e monitorando em resposta a essa onda de ataques.

Correção

O WannaCry explora a vulnerabilidade MS17-010 para propagar-se na rede. O IBM BigFix Detect em conseguido implementar a correção dessa vulnerabilidade desde março de 2017. Além disso, o BigFix pode ser usado para:

  • Aplicar correções para vulnerabilidades críticas.
  • Detectar endpoints infectados usando o BigFix Query.
  • Configurar endpoints para desativar o SMB v1.

Com o agente inteligente do BigFix, também é possível detectar endpoints infectados verificando a presença dos hashes de arquivo documentados na coleção do X-Force Exchange. Quando endpoints comprometidos são encontrados, eles podem ser colocados em quarentena, automaticamente ou sob demanda, para correção. Usando o BigFix Patch Management for Windows, os administradores podem implementar a correção de segurança vital nos endpoints registrados. Mais informações sobre o gerenciamento de correção do Windows do BigFix podem ser encontradas aqui.

Bloqueio

O IBM Security Network Protection (IPSs GX e XGS) pode ser usado para detectar e/ou bloquear a comunicação de comando e controle (C&C) do malware usando a assinatura SMB_EternalBlue_Implant_CnC, que está disponível desde abril de 2017. Além disso, a assinatura do SMB_NT_Transact_OPEN_Bo, liberada em 12 janeiro de 2009, detecta mensagens do SMB com comprimentos de dados nos campos de parâmetro ou de dados que caem nos limites de vulnerabilidade.

Usufruindo da iniciativa proativa do IBM X-Force e dos recursos do produto IBM Security Network Protection usando eventos de IPS, as seguintes assinaturas podem ser utilizadas para bloquear a atividade do SMB de saída de um host infectado com o malware:

Monitore

As assinaturas de IPS e vulnerabilidade do QRadar foram atualizadas para cobrir o WannaCry. Para se protegerem dessa ameaça, os usuários devem:

  • Identificar todos os endpoints Windows (a maioria terá o SMB ativado) coletando dados de fluxo e/ou executando varreduras usando o QRadar Vulnerability Manager (QVM) ou outros scanners, e colocá-los em listas de observação.
  • Verificar seus ambientes continuamente, corrigir as vulnerabilidades CVE 2017-0143, CVE 2017-0144, CVE 2017-0145, CVE 2017-0146, CVE 2017-0147 e CVE 2017-0148, e/ou desativar o SMB v1 para manter uma visualização de risco da situação de vulnerabilidade atual.
  • Assegurar que as fontes de segurança de firewall, IPS e endpoint de monitoramento sejam analisadas quanto aos eventos listados na coleção do X-Force.
  • Assegurar que as regras de “Scanners locais do windows ou SMB” estejam ativadas e ajustadas.
  • Incluir esta regra de yara no Network Insights para detectar malware na conexão.
  • Prestar muita atenção nos delitos com categorias de scanner do Windows, worm, exploração bem-sucedida ou quaisquer delitos que envolvam CVE 2017-0143, CVE 2017-0144, CVE 2017-0145, CVE 2017-0146, CVE 2017-0147 e CVE 2017-0148. (Observação: o QRadar correlacionará automaticamente as assinaturas de exploração com as vulnerabilidades descobertas.)
  • Enviar delitos ao Watson para análise. O Watson tem lido e aprendido sobre a ameaça e pode investigar e qualificar rapidamente atividades suspeitas relacionadas ao WannaCry.

Os usuários também devem executar as seguintes consultas periodicamente para procurar infecções já ocorridas, usando os indicadores de comprometimento (IoCs) mais recentes da coleção do X-Force:

Tipo Consulta
Hashes SELECT LOGSOURCETYPENAME(devicetype) como ‘Tipo de origem do log’,
CATEGORYNAME(category), sourceip como ‘IP de origem’,
destinationip como ‘IP de destino’,
destinationport como ‘Porta de destino’
FROM events WHERE ReferenceSetContains (‘Malware Hashes MD5’,[hash]) and LOGSOURCETYPENAME(devicetype) = [log source]
IPs SELECT LOGSOURCETYPENAME(devicetype) como ‘Tipo de origem do log’,
CATEGORYNAME(category), sourceip como ‘IP de origem’,
destinationip como ‘IP de destino’,
destinationport como ‘Porta de destino’,
XFORCE_IP_CONFIDENCE(‘Malware’,destinationip) como ‘Malware’
FROM events WHERE ReferenceSetContains (‘Malware IPs’,destinationip) AND eventdirection = ‘L2R’AND “Malware” > 50

Revise seu playbook de resposta a incidente

Revise o playbook de resposta de ransomware resiliente e ajuste-o corretamente. Revise também o Guia de resposta de ransomware do IBM X-Force.

Os usuários podem usufruir do BigFix para colocar em quarentena os endpoints infectados, encerrar processos e remover arquivos. A solução pode responder ao malware usando a quarentena de arquivos e/ou a correção de registro, que são duas ações com suporte no BigFix Detect.

Os analistas de segurança podem solicitar a quarentena de arquivos maliciosos diretamente nos alertas de Atividade ou Persistência de Ransom. Os analistas também podem solicitar a exclusão ou a mudança de chaves ou valores de registro da Persistência por meio do registro. Essas ações podem ser iniciadas manualmente na interface com o usuário do Detect, independentemente do alerta gerado.

Ajuda

Para receber assistência adicional, ligue para o canal de contato do IBM X-Force Incident Response:

USA: +1-888-241-9812

Global: +1-312-212-8034

FAçA DOWNLOAD DO GUIA DE RESPOSTA AO RANSOMWARE DO IBM INCIDENT RESPONSE SERVICES

At approximately 10:30 a.m. EST last Friday, the IBM Security team was made aware of a large-scale attack happening in Europe. This malware, called WannaCry, is a ransomware spreader finding and infecting boxes utilizing a SMB vulnerability (MS17-010).

IBM X-Force is actively investigating this activity, and currently recommends that clients ensure they are patched for the MS17-010 vulnerability and that their antivirus signatures are up to date.

IBM Takes on WannaCry

As part of our research to help victims recover from the attack, we and our Incident Response and Intelligence Services (IRIS) team collect data to help other organizations mitigate the threat. This is where your organization can leverage IBM X-Force Threat Intelligence together with your QRadar system to detect infections, either in real time or in the past.

We have identified IP addresses, malware hashes, malware names and URLs that are associated with this sophisticated attack. You can simply follow these collections in X-Force Exhange and they will automatically flow into reference sets in QRadar. These reference sets will become powerful tools in alerting your organization if you are seeing this attack. We can trigger offenses based on this threat intelligence; as more information becomes available on X-Force exchange, it will automatically update in your QRadar deployment.

Watch this video to learn how to protect your network from WannaCry with QRadar and X-Force Exchange:

Responding to the Attacks

As part of the IBM Security Operations and Response platform, we advise users to patch, block and monitor vigilantly in response to this wave of attacks.

Patch

WannaCry exploits the MS17-010 vulnerability to propagate through the network. IBM BigFix Detect has been capable of deploying the patch for this vulnerability since March 2017. Additionally, BigFix can be used to:

  • Apply patches for critical vulnerabilities.
  • Detect infected endpoints using BigFix Query.
  • Configure endpoints to disable SMB v1.

With BigFix’s intelligent agent, you can also detect infected endpoints by scanning for the file hashes documented in the X-Force Exchange collection. When compromised endpoints are found, they can be quarantined, either automatically or on demand, for remediation. Using BigFix Patch Management for Windows, administrators can deploy the vital security patch to registered endpoints. More information on BigFix’s Window Patch management can be found here.

Block

The IBM Security Network Protection (GX and XGS IPSs) can be used to detect and/or block the malware’s command-and-control (C&C) communication using the SMB_EternalBlue_Implant_CnC signature, which has been available since April 2017. In addition, the SMB_NT_Transact_OPEN_Bo signature, released on Jan 12, 2009, detects SMB messages with data lengths in either the parameter or data fields that fall within the vulnerability limits.

Leveraging the proactive initiative by IBM X-Force and the product capabilities of the IBM Security Network Protection using IPS events, the following signatures can be utilized to block outgoing SMB activity from an infected host with the malware:

Monitor

QRadar IPS and vulnerability signatures have been updated to cover WannaCry. To protect themselves from this threat, users should:

  • Identify all Windows endpoints — most will have SMB enabled — by collecting flow data and/or performing scans using QRadar Vulnerability Manager (QVM) or other scanners, and place them on watchlists.
  • Continuously scan their environments, patch the vulnerabilities CVE 2017-0143, CVE 2017-0144, CVE 2017-0145, CVE 2017-0146, CVE 2017-0147 and CVE 2017-0148, and/or disable SMB v1 to maintain a risk view of the current vulnerability posture.
  • Ensure monitoring firewall, IPS and endpoint security sources are analyzed for the events listed in the X-Force collection.
  • Ensure “Local windows or SMB scanners” rules are enabled and tuned.
  • Add this yara rule to Network Insights to detect malware on the wire.
  • Pay close attention to offenses with categories of Windows Scanner, Worm, Successful Exploit, or any offenses involving CVE 2017-0143, CVE 2017-0144, CVE 2017-0145, CVE 2017-0146, CVE 2017-0147 and CVE 2017-0148. (Note: QRadar will automatically correlate exploit signatures with discovered vulnerabilities.)
  • Submit offenses to Watson for analysis. Watson has read and learned about the threat and can rapidly investigate and qualify suspicious activities related to WannaCry.

Users should also run the following queries periodically to look for previous infections using the latest indicators of compromise (IoCs) from the X-Force collection:

Type Query
Hashes SELECT LOGSOURCETYPENAME(devicetype) as ‘Log Source Type’,
CATEGORYNAME(category), sourceip as ‘Source IP’,
destinationip as ‘Destination IP’,
destinationport as ‘Destination Port’
FROM events WHERE ReferenceSetContains (‘Malware Hashes MD5’,[hash]) and LOGSOURCETYPENAME(devicetype) = [log source]
IPs SELECT LOGSOURCETYPENAME(devicetype) as ‘Log Source Type’,
CATEGORYNAME(category), sourceip as ‘Source IP’,
destinationip as ‘Destination IP’,
destinationport as ‘Destination Port’,
XFORCE_IP_CONFIDENCE(‘Malware’,destinationip) as ‘Malware’
FROM events WHERE ReferenceSetContains (‘Malware IPs’,destinationip) AND eventdirection = ‘L2R’AND “Malware” > 50

Review Your Incident Response Playbook

Review the Resilient ransomware response playbook and adjust accordingly. Also review the IBM X-Force Ransomware Response Guide.

Users can leverage BigFix to quarantine infected endpoints, terminate processes and remove files. The solution can respond to the malware by using the file quarantine and/or registry fix, since both are supported actions in BigFix Detect.

Security analysts can request to quarantine the malicious file directly from the Ransom Activity or Persistency alerts. Analysts can also request to delete or change registry keys or values from Persistency via registry. These actions can be initiated manually from Detect UI, regardless of the alert generated.

Get Help

For further assistance, call the IBM X-Force Incident Response Hotline:

USA: +1-888-241-9812

Global: +1-312-212-8034

Register for the Webinar series: Orchestrate Your Security Defenses to avoid Ransomware Attacks

Share this Article:
Shane Lundy

Product Manager for QRadar, IBM

Shane Lundy is a product manager working on the QRadar Security Intelligence product with the IBM Security division. For over 15 years Shane has been involved in developing, testing, managing, releasing and selling software across many IT divisions. Given that Shane began his career in security as a software engineer and later moved into product management, he is well versed in SIEM and Vulnerability & Network Management.