Blog de administración de sistemas

Lista negra (Blacklist) de direcciones IPs maliciosas actualizada.

En SysCloud hemos lanzado una lista negra (Blacklist) de direcciones IPs maliciosas, para que todas las empresas se pueda proteger contra la cibercriminales, hackers y redes botnet.

Para utilizar la lista hay que usar uno de los siguientes enlaces:

  • https://cdn.syscloud.es/bad_ips.txt.gz (Formato Gzip)
  • https://cdn.syscloud.es/bad_ips.txt (Formato TXT)
Lista negra hackers y ciberdelincuentes
Lista negra hackers y ciberdelincuentes

Esta lista se actualiza cada 24 Horas, con direcciones IP maliciosas, servidores comprometidos (Hackeados), nodos de salida tor, servidores VPN, servidores proxy actualmente la lista se alimenta de los siguientes proyectos:

 

 

 

  • Tor Project
  • Openbl
  • Spamhaus
  • Emerging Threats
  • Cins Score
  • Malware Domainlist
  • Malc0de
  • Blocklist.de
  • Zeustracker
  • Ransomware Tracker
  • Maxmind
  • Rulez.sk
  • Autoshun

 

Análisis y recomendaciones para evitar la infección de Petya Ransomware

Recomendaciones para evitar la infección de Petya Ransomware

Es detectado como Win32/Diskcoder.Petya.C, explota la vulnerabilidad de MS17-010 igual que WanaCry. Esta programado en C.

Como evitar la infección de petya.

Para evitar la infección por este Malware hay que crear el fichero.

C:\Windows\perfc
C:\Windows\perfc.dll

Reglas para el IDS Snort:

Reglas para detectas ms17-010 en snort.

Tal como muestra el código en C del ransomware Petya .

Analisis Ransomware Petya
Analisis Ransomware Petya

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Como se propaga el ransomware petya.

Exploits usados por petya para propagarse en redes LAN

  • EternalBlue
  • Vulnerabilidades para el software ukraniano М.Е. Doc.
  • Por último para entornos corporativos con SMB/CIFS/NetBios (Puerto TCP 445) utiliza PSExec , con la tecnica conocidad pash the hash mediante smb, solo infectaria equipos en red conectados a un PDC de Active directory o aquellos equipos con mismo usuario y contraseña + SSID.

Como llega petya a propagarse en redes WAN

El ransomware petya puede llegar mediante 2 formas.

  • Mediante un ataque de Phishing.
  • A través de un correo electrónico con un documento RTF mal formado que explota la vulnerabilidad  CVE-2017-0199 (Ejecución de código Remoto).
  • Si tienes el puerto 445 abierto, y no esta el parche MS17-010 instalado, también te puedes infectar, tal como sucedió en el CPD de OVH.

Como infecta petya nuestro equipo.

El malware crea una tarea programada con la siguiente instrucción, extraída del código fuente:  "C:\\Windows\\System32\\rundll32.exe \\\"C:\\Windows\\perfc.dat\\ y se lanza a la hora después de la infección.

Antes de reiniciarse limpia todos los registros del sistema mediante el comando:

evtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

 

 

Se intenta conectar con los siguientes hosts:

  • 185.165.29.78
  • 84.200.16.242
  • 111.90.139.247
  • 95.141.115.108

Llega desde siguientes correos:

Correos vinculados con el Rasomware petya
Correos vinculados con el Rasomware petya.

 

 

 

 

 

Extensiones infectadas por el ransomware petya.

  • .3ds .7z .accdb .ai .asp .aspx .avhd .back .bak  .c .cfg
    .conf  .cpp  .cs  .ctl  .dbf  .disk  .djvu .doc  .docx .dwg
    .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora
    .ost .ova .ovf .pdf  .php .pmf .ppt .pptx  .pst .pvi .py
    .pyc .rar  .rtf .sln .sql .tar  .vbox .vbs .vcb .vdi .vfd
    .vmc  .vmdk .vmsd .vmx .vsdx  .vsv .work  .xls  .xlsx
    .xvd  .zip

Cartera Bitcoin de petya.

https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Hacking de Windows Server 2008 R2 via SMBv2 + Active Directory – Metasploit

Pentesting de Windows Server 2008 R2 via SMBv2 + Active Directory - Metasploit

Lo que empezo con un ataque DOS acabo en un RCE en toda regla, con privilegios Local System.

Microsoft Security Bulletin MS09-050 - Critical
Vulnerabilities in SMBv2 Could Allow Remote Code Execution (975517).

Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 and Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systems
Windows 7 for 32-bit Systems
Windows 7 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems
Windows Server 2008 R2 for Itanium-based Systems

¿Sigues pensando no actualizar tus Sistemas?

Cuenta con nosotros para protegerte: https://syscloud.es/seguridad-informatica/

 

Enlaces de descarga para la actualización critica MS17-010 para Windows. MS17-010 Download links

Actualización MS17-010 para el servidor SMB 1.0 , prioridad crítica, parchea una ejecución de código remoto en netbios:

Parche de seguridad contra el exploit  ETERNALBLUE MS17-010 para Windows 2008 R2:
Windows Server 2008 R2 Standard Edition (x64)
Windows Server 2008 R2 Enterprise Edition (x64)
Windows Server 2008 R2 Datacenter Edition (x64)
Windows Server 2008 R2 Web Server Edition (x64)
Windows Server 2008 R2 Foundation Edition (x64)

Parche de seguridad contra el exploit  ETERNALBLUE MS17-010 para Windows 2012 R2
Windows Server 2012 R2 Datacenter Edition (x64)
Windows Server 2012 R2 Essentials Edition (x64)
Windows Server 2012 R2 Foundation Edition (x64)
Windows Server 2012 R2 Standard Edition (x64)

Parche de seguridad contra el exploit  ETERNALBLUE MS17-010 para Windows 2016 y Windows 10:
Windows 2016 y Windows 10 x86
Windows 2016 y Windows 10 x64

Parche de seguridad contra el exploit ETERNALBLUE MS17-010 para Windows 7 x86
Parche de seguridad contra el exploit ETERNALBLUE MS17-010 para Windows 7 x64
Parche de seguridad contra el exploit ETERNALBLUE MS17-010 para Windows Vista SP2 (x64)
Parche de seguridad contra el exploit ETERNALBLUE MS17-010 para Windows Vista SP2 (x86)
Parche de seguridad contra el exploit ETERNALBLUE MS17-010 para Windows Server 2003 SP2 x64
Parche de seguridad contra el exploit ETERNALBLUE MS17-010 para Windows Server 2003 SP2 x86
Parche de seguridad contra el exploit ETERNALBLUE MS17-010 para Windows XP SP2 x64
Parche de seguridad contra el exploit ETERNALBLUE MS17-010 para Windows XP SP3 x86
Parche de seguridad contra el exploit ETERNALBLUE MS17-010 para Windows XP Embedded SP3 x86
Parche de seguridad contra el exploit ETERNALBLUE MS17-010 para Windows 8 x86
Parche de seguridad contra el exploit ETERNALBLUE MS17-010 para Windows 8 x64

 

Actualización 26/06/2017

Por lo visto el ransomware petya también se aprovecha de esta vulnerabilidad.