Título: Enlaces y documentación sobre EternalBlue (Ataque Telefonica, Ransomware 2017) Publicado por: WHK en 13 Mayo 2017, 03:24 am Este es un post a modo de recopilatorio donde podemos encontrar todo tipo de información sobre el malware para su analisis.
¿Donde nace este ransomware?, Leak de 0days de la NSA es utilizado para crear la propagación de este ransomware https://actualidad.rt.com/actualidad/238324-snowden-responsable-nsa-ataque-cibernetico Contexto, sistemas afectados, estadisticas de infección y más https://hackmd.io/s/H1HYNvmxW Algunos afectados http://foro.elhacker.net/noticias/ciberataque_contra_la_intranet_de_telefonica-t469301.0.html;msg2122786#msg2122786 Boletín de Microsoft con el parche de los agujeros https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Prueba de concepto en python para la vulnerabilidad de ejecucion remota en Windows 10 y Windows Server 2016 para SMB https://pastebin.com/raw/m4AP8YfS https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 https://github.com/RiskSense-Ops/MS17-010 Configurando el "Metasploit NSA" para correr EternalBlue + DoublePulsar http://comunidad.dragonjar.info/discussion/9562/configurando-el-metasploit-nsa-para-correr-eternalblue-doublepulsar http://www.semecayounexploit.com/?sec=bugs-y-exploits¬a=32 Hasta ahora aun se sigue propagando por una multitud de equipos y compañias debido a que se propaga utilizando por lo menos 6 0days diferentes para windows. Si tienes mas info puedes postearlo en este lugar Título: Re: Enlaces y documentación sobre EternalBlue (Ataque Telefonica, Ransomware 2017) Publicado por: Maurice_Lupin en 17 Mayo 2017, 09:06 am Encontré esto
Código: Con SMB 1.0 deshabilitado, el ransomware WannaCrypt, no puede distribuirse por SMB aunque no hayamos instalado el parche Aqui el post y como deshabilitarlo en todas las versiones de win http://www.sysadmit.com/2017/05/windows-deshabilitar-smb-10.html Título: Re: Enlaces y documentación sobre EternalBlue (Ataque Telefonica, Ransomware 2017) Publicado por: animanegra en 17 Mayo 2017, 12:45 pm Metasploit tiene entre sus modulos el exploit para ser usado de forma facil y para toda la familia:
https://www.rapid7.com/db/modules/exploit/windows/smb/ms17_010_eternalblue (https://www.rapid7.com/db/modules/exploit/windows/smb/ms17_010_eternalblue) No lo he testeado aun. Título: Re: Enlaces y documentación sobre EternalBlue (Ataque Telefonica, Ransomware 2017) Publicado por: engel lex en 17 Mayo 2017, 12:52 pm Encontré esto Código: Con SMB 1.0 deshabilitado, el ransomware WannaCrypt, no puede distribuirse por SMB aunque no hayamos instalado el parche Aqui el post y como deshabilitarlo en todas las versiones de win http://www.sysadmit.com/2017/05/windows-deshabilitar-smb-10.html pero dejas de tener carpetas compartidas... a quien no lo use, esta bien Título: Re: Enlaces y documentación sobre EternalBlue (Ataque Telefonica, Ransomware 2017) Publicado por: Borito30 en 19 Mayo 2017, 19:03 pm Gracias por la documentación.
pero dejas de tener carpetas compartidas... a quien no lo use, esta bien En cuanto a esto aora mismo hay un exploit de los shadowbrokers el ETERNALCHAMPION que afecta al protocolo SMB 1.0 creo que ya actualizando el wndows del todo no sería vulnerable. En cuanto a esto que dijeron en el post, Si tienes mas info puedes postearlo en este lugar, bueno yo recomendaría como me dijeron en el foro ver la lista de exploits de los shadowbrokers: https://github.com/misterch0c/shadowbroker (https://github.com/misterch0c/shadowbroker) El leak de los shadowbrokers explicado: https://community.rapid7.com/community/infosec/blog/2017/04/18/the-shadow-brokers-leaked-exploits-faq (https://community.rapid7.com/community/infosec/blog/2017/04/18/the-shadow-brokers-leaked-exploits-faq) Y luego hacer un poc de cada uno, ya sea en python o pentesting para su estudio. salu2 |