WannaCry! Un ransomware dal codice grossolano mette in ginocchio il cyber-spazio.

WannaCry RansomwareNel momento in cui scrivo, tutti i professionisti dell’IT Security avranno già sentito parlare del ransomware che sta terrorizzando il mondo: WannaCry. Dal 12/05 ogni blog specializzato nel settore oltre che la stampa in genere, non fa che parlare dei danni (reali, ipotetici o presunti) che l’incrontrollata diffusione di tale codice starebbe causando. Da circa un paio di giorni ho iniziato a studiare in maniera abbastanza approfondita diversi campioni (malware samples) appartenenti alla campagna in oggetto. Analisi di dettaglio condotte in collaborazione con altri professionisti e l’ausilio di alcune honeynet (dove sono state implementate regole ad hoc al fine di misurare il reale grado di virulenza della minaccia), hanno condotto ad una prima stima riguardo il numero totale delle infezioni che hanno colpito, ad oggi, il cyber-spazio italiano. Tale valore, che nelle ultime 24 ore si è attestato intorno le 300 unità , risultava in leggero calo nel primo pomeriggio di oggi, 14/05, per poi iniziare a prendere nuovo vigore in tarda serata, forse in congiunzione con il rilascio di versioni del malware con meccanismi di “Kill-Switching” diversi dalla uno punto zero. Il “Kill-Switching” della prima versione in effetti è stata la cosa che più ha colpito la mia curiosità dato che raramente mi sono trovato di fronte a soluzioni simili durante l’analisi e nei processi di remediation a seguito di incidenti. La semplicissima registrazione di un nuovo nome a dominio (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) ha consentito un deciso rallentamento nei processi di infezione a livello globale in quanto semplicemente il malware originale è stato pensato per “uscire” dall’esecuzione qualora fosse riuscito a comunicare con l’URL appena mostrato. I samples in mio possesso confermano quanto globalmente riportato:

 2

 

il parametro di funzione &szUrl rappresenta ovviamente l’URL descritto. Lo pseudo codice sopra è elementare e decisamente non meritevole di approfondimenti. Resta tuttavia da comprendere se tale meccanismo sia stato voluto  o è il risultato di una “distrazione da programmatore” all’interno dell’istruzione condizionale. Continuando la mia analisi tuttavia non ho potuto fare a meno di considerare il restante codice piuttosto grossolano e basilare nella sua totalità. La sola reale particolarità sta nell’utilizzo dell’exploit per la vulnerabilità MS17-010 nelle sue funzioni dedite all’auto-diffusione del codice malevolo. Se osserviamo attentamente anche queste ultime però, noteremmo che anche qui il codice non risulta scritto troppo bene (anzi). Durante l’analisi dinamica sono state infatti osservate comunicazioni mirate all’exploit della famigerata vulnerabilità SMB verso indirizzi IP alquanto “improbabili” (0.0.0.2:445). Il resto del codice risulta molto chiaro da reversare e comprendere; una risorsa interna all’eseguibile in analisi (che risulta in effetti solo il dropper del malware vero e proprio)  rappresenta il payload vero e proprio. Estratto ed eseguito provvede al carico di lavoro vero e proprio.

res

Le restanti risorse sono estratte da un archivio .zip presenti sempre all’interno del dropper, avente chiave [email protected] In considerazione della bassa complessità della minaccia in oggetto dunque, si fa ancora più importante una riflessione riguardo l’utilizzo di strumenti e tecniche inizialmente progettate e pensate per esclusivo utilizzo da parte dei governi che se finite in mani sbagliate possono portare a crisi di livello sistemisto per il cyber-spazio. Sotto tale punto di vista dunque è possibile aspettarsi nel prossimo futuro una evoluzione della minaccia dovuta sia a meccanismi di emulazione sia alla messa in opera di tecniche e metodologie di propagazione sempre più sofisticate ed efficaci.

AGGIORNAMENTO 15 / 05

Oggi mi sono imbattuto in nuove varianti che escludono ogni possibilità di “kill-switching“. Il problema, però, è che le istruzioni di decompressione delle risorse sopra descritte non sembrano funzionare correttamente nella variante analizzata (il codice non sembra essere mai richiamato rendendo di fatto il malware totalmente innocuo), confermando la generale superficialità nel coding della minaccia in oggetto.

2 Comments

  1. Arrigo

    dimenticavo, stima assoluta per chi usa ancora Windows xp e vede Mr Robot . ci sarebbe sempre meno lavoro per voi cyber sceriffi del codice.

Leave a Reply

Your email address will not be published. Required fields are marked *


5 + = 13