UA-53940618-1 Satan Ransomware
  • atapia73

Satan Ransomware

Actualizado: 24 de sep de 2019



Descripción:

El ransomware Satan, se propaga explotando múltiples vulnerabilidades de aplicaciones en la plataforma Linux y Windows por medio de la dirección interna de IP y la lista de puertos. Puede realizar dos acciones de impacto:


1. Después de entrar en el sistema, no hace nada obviamente dañino, sino que solo se propaga.

2. Agrega un módulo de ransomware, que encripta los archivos locales y agrega .lucky a sus nombres, además muestra un archivo de rescate con el nombre de "_How_To_Decrypt_My_File_" y después lo elimina.


El ataque también puede usarse contra servidores accesibles públicamente. El malware llegará a uno de los servidores de comando y control (C2), recuperará una subred de clase C para los ataques y luego enumerará cada dirección IP en esa red e intentará propagarse.


Indicadores de compromiso (IOCs):

IP

Solicitud HTTP

111.90.158.225

http://111.90.158.225/wversion

107.179.65.195

http://107.179.65.195/wversion

23.247.83.135

http://23.247.83.135/wversion

111.90.158.224

http://111.90.158.224/wversion


Lista de vulnerabilidades:


· Apache Struts 2 remote code execution vulnerability (S2-045)

· Apache Struts 2 remote code execution vulnerability (S2-057)

· JBoss default configuration vulnerability (CVE-2010-0738)

· Tomcat arbitrary file upload vulnerability (CVE-2017-12615

· WebLogic arbitrary file upload vulnerability (CVE-2018-2894)

· WebLogic WLS component vulnerability (CVE-2017-10271)

· Windows SMB remote code execution vulnerability (MS17-010)

· Spring Data Commons remote code execution vulnerability (CVE-2018-1273)

· Spring Data REST Patch Request (CVE-2017-8046)

· ElasticSearch (CVE-2015-1427)

· ThinkPHP 5.X Remote Code Execution (no CVE)


Hash:

· 54a1d78c1734fa791c4ca2f8c62a4f0677cb764ed8b21e198e0934888a735ef8 - W32/ShadowBrokers.AE!tr

· 02e1a05fdfdf4f8685d92ba09d698b8be66ae6d020dc402ff2119501dda9597c - Linux/CoinMiner.FE!tr

· 51F2E919A7ECFB3B096DDCB71373E86E81883B4B59848D2F6F677F9E317A8468 - Linux/Filecoder.R!tr

Detección

Linux:


·Comandos para comprobar si los procesos loop y conn se están ejecutando.

ps -ef | grep loop and ps -ef | grep conn


·comandos para buscar archivos .loop, .conn, y .hash en los directorios.

find / -name “.loop”, find / -name “.conn”, and find / -name “.hash”


·comando para verificar si .loop está incluido en los elementos de inicio automático.

crontab -l


·Revisar la extensión .lucky


·Compruebe si existe el archivo /etc/rc6.d/S20loop.


Windows:

·Verifique el directorio: C:\ directory for fast.exe o _How_To_Decrypt_My_File_.

·Verifique el directorio C:\Program Files\Common Files\System para conn.exe and srv.exe.

·Verifique el directorio C:\user\all users o C:\ProgramData para EternalBlue toolkit.

·Compruebe si los procesos blue.exe, fast.exe, star.exe, srv.exe, conn.exe, cpt y mmkt.exe se están ejecutando en el sistema

·Compruebe si existe una clave / valor de registro anormal para averiguar la presencia del servicio de registros:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Logs Service.


Mitigación

Linux

• Desconecte la máquina y aíslela de otras máquinas en la misma red para evitar una infección secundaria durante la eliminación de troyanos o malware.

• Compruebe los archivos “crontab” y “locals” y elimine la información de inicio del virus Satan (si existe).

• Desde CMD utilice kill -9 [pid] para terminar .loop, .conn32 / 64 y .cry32 / 64

• Cambie la contraseña del servicio SSH en el sistema operativo a una más fuerte.


Windows:

• Desconecte la máquina y aíslela de otras máquinas en la misma red para evitar una infección secundaria durante la eliminación de troyanos.

• Dado que el troyano incorpora la capacidad de escaneo de contraseñas débiles y la herramienta de captura de contraseña mmkt.exe, es necesario cambiar la contraseña del sistema para evitar una infección secundaria durante la eliminación del troyano.

• Termine los procesos exe, fast.exe, star.exe, srv.exe, conn.exe, mmkt.exe y cpt.exe.

• Elimine exe, srv.exe y cpt.exe de C:\Program Files\Common Files\System.

• Elimine el kit de herramientas de EternalBlue de C:\user\all users o C:\ProgramData (tenga en cuenta el tiempo de escritura para evitar eliminar por error los archivos normales del sistema).

• Elimine la clave de registro / valor creado por el troyano:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Logs Service.

• Instale el parche del sistema operativo especialmente desarrollado para tratar la vulnerabilidad de MS17-010 (exploit de EternalBlue).


Recomendaciones:

• Bloquear los IOCs

• Actualice Apache Struts 2 a la última versión que haya solucionado las vulnerabilidades S2-045, S2-046 y S2-057.

• Actualice JBoss a la última versión que haya solucionado las vulnerabilidades CVE-2013-4810 y CVE-2010-0738.

• Actualice Tomcat para corregir la vulnerabilidad de carga de archivos arbitrarios (CVE-2017-12615).

• Actualice WebLogic para corregir la vulnerabilidad de carga de archivos arbitraria (CVE-2018-2894) y la vulnerabilidad del componente WLS (CVE-2017-10271).

• Parche el sistema operativo para corregir la vulnerabilidad de MS17-010 o deshabilite el servicio SMB si no es necesario.

• Aumente la complejidad de las contraseñas de la cuenta del host y establezca el ciclo de cambio de contraseña en un período corto. Además, evite usar contraseñas comunes o contraseñas con significados lógicos.

• Cambie el nombre de usuario predeterminado del administrador del sistema para evitar el uso de nombres comunes como administrador, administrador y prueba.

• Instale software antivirus con autoprotección para evitar que los hackers apaguen o terminen procesos, y mantenga la base de datos de virus actualizada.

• Incrementar la capacitación sobre la conciencia de seguridad de los empleados. No abra correos electrónicos de remitentes desconocidos ni ejecute programas de fuentes no identificadas.

• Haga una copia de seguridad con regularidad de los datos más importantes para evitar los problemas ocasionados por la corrupción y pérdida de datos en caso de ser afectado por el ransomware.

• Usar VLAN o aislamiento de puerto para separar diferentes redes de negocios para evitar que los virus se propaguen a través de segmentos de red.

• Realice un seguimiento de las alertas de vulnerabilidad, por ejemplo, siguiendo la cuenta oficial de Microsoft, a fin de poder corregir las vulnerabilidades críticas a tiempo.

221 vistas
  • w-facebook
  • Twitter Clean
  • White Google+ Icon

© 2023 CONSULTORA DE NEGOCIOS. Hecho con  Wix.com

  • Facebook
  • Twitter
  • Icono social LinkedIn
  • YouTube