Logo

Menu
    [PERINGATAN KEAMANAN] WANNACRYPT
    May 13, 2017, 12:58 p.m. Posted by: aka56

    ----------------------------------------------

    PERINGATAN KEAMANAN / SECURITY ALERTS ID-CERT

    Nomor: IDCERT 2017 – 0001

    Tanggal:01 JUNI 2017

    Diperbaharui: -

    =============================================

    Saran berikut diadopsi dari Security Advisory AusCERT.

    PENGANTAR

    Sebagai tindak lanjut dari peringatan hari Sabtu, tanggal 13 Mei 2017, AusCERT telah menyusun daftar indikator yang terkena WannaCry  berdasarkan analisis yang dilakukan oleh pihak luar [1-3]. Kerentanan utama yang ditarget oleh eksploitasi EternalBlue untuk mengirimkan Ransomware adalah CVE-2017-0144.

    Analisis flag file terenkripsi mengandung ekstensi yang berbeda. Ekstensi file yang terenkripsi diganti namanya menjadi ".wnry", ".wcry", ".wncry" dan ".wncrypt", kemungkinan karena varian dari nama ransomware tersebut.

    Ransomware menarget file dengan ekstensi berikut:

    .123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .ARC, .PAQ, .accdb, .aes, .ai, .asc,

    .asf, .asm, .asp, .avi , .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class,

    .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf ,. Dch, .der, .dif, .dip, .djvu,

    .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv,

    .frm, .gif, .gpg, .gz, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp,

    .key, .lay, .lay6, .ldf , .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml,

    .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi ,. Nef, .odb, .odg, .odp,

    .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .pas, .pdf, .pem,

    .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt,

    .pptm, .pptx, .ps1, .psd, .pst, .rar , .raw, .rb, .rtf, .sch, .sh, .sldm,

    .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti ,. Stw,

    .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif,

    .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd,

    .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm , .xls, .xlsb, .xlsm,

    .xlsx, .xlt, .xltm, .xltx, .xlw, .zip

    Sementara AusCERT saat ini belum mengetahui adanya anggota yang terkena dampak Oleh malware ini, AusCERT akan terus memantau dan memonitor.

    DOWNLOAD IOC: http://auscert.org.au/resources/blog/wannacrypt-ioc/

    Indikator yang terdapat dalam file zip wanacrypt-ioc.zip adalah:

    Btc.csv            : dompet bitcoin yang digunakan untuk mengumpulkan uang tebusan

    Domain.csv         : Domain yang dikontak oleh ransomware

    Filename.csv       : File yang di-drop oleh ransomware

    Hostname.csv       : hostname dari host yang dikontak oleh ransomware

    Ip_dst_port.csv    : IP-port untuk host jarak jauh yang dikontak oleh ransomware

    Md5.csv            : MD5 Digests untuk file yang di-drop dan muatan yang dikirim selama pengiriman dan instalasi ransomware

    Pattern-in-file.csv: Segmen kode yang menarik diamati dalam Sampel ransomware

    Regkey.csv         : Kunci registry yang di-create dan/atau dimodifikasi saat instalasi ransomware

    Sha1.csv           : jumlah SHA1 untuk file yang diturunkan dan muatan dikirim selama Ransomware Pengiriman dan pemasangan

    Sha256.csv         : SHA256 jumlah untuk file yang di-drop dan muatan yang dikirim selama pengiriman dan instalasi ransomware

    Snort.csv          : Aturan snort untuk mendeteksi eksploitasi EternalBlue

    Yara.csv           : YARA signature untuk mendeteksi keberadaan ransomware di host

    Untuk semua atribut, lihat lampiran 170.csv.

    TINDAKAN YANG DIANJURKAN:

    - Ikuti panduan yang diberikan oleh Microsoft untuk memperbarui sistem

    Windows. Pembaruan ini mencakup untuk Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Tertanam SP3 x86, Windows 8 x86, Windows 8 x64. [4]

    - Terapkan snort signatures pada IDS/IPS untuk mendeteksi adanya aktivitas yang berpotensi mengeksploitasi EternalBlue.

    - Gunakan signature YARA pada host Windows untuk memantau keberadaan gejala WannaCry. [5]

    - Terapkan blok pada perangkat keamanan jaringan untuk domain, IP, hostname yang terdaftar, baik outbound maupun inbound.

    - Tune HIDS untuk memantau perubahan pada kunci registry, file, file hash yang terdaftar.

    - Semua Organisasi disarankan untuk menambal/patch host Windows ke MS17-010 jika belum. Beberapa analisis setuju ini adalah pertahanan terbaik untuk melawan penyebaran WannaCry saat ini.

    - Organisasi yang tidak dapat menambal sistem tertentu, misalnya, Rumah Sakit yang mengoperasikan peralatan khusus, disarankan untuk mempertimbangkan menerapkan VLAN Pribadi untuk mengisolasi sistem semacam itu. Ini akan membantu mencegah penyebaran virus yang lateral.



    REFERENSI

    1. https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware

    2. https://securingtomorrow.mcafee.com/executive-perspectives/analysis-wannacry-ransomware-outbreak/

    3. https://www.troyhunt.com/everything-you-need-to-know-about-the-wannacrypt-ransomware/

    4. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

    5. https://blog.malwarebytes.com/threat-analysis/2013/10/using-yara-to-attribute-malware/