Ransomware: Prevenzione e soluzioni

[Paky]

scharzavo dai
era per dire: " se hai patchato, il virus teoricamente non può essere iniettato dall'esterno , ma lo puoi raccogliere autonomamente con un suicidio volontario"

Quote:

Intendevo dire: prima della propagazione sulla rete locale (che sappiamo sfrutta SMBv1) come è entrato nel 1ºPC se in questo caso non ha usato le classiche mail?

è entrato perchè il pc era vulnerabile
mi sembra logico
se patchi (per ora) non possono più bucarti e iniettare software a tua insaputa

che poi... come dice Phoenix , se ci sono tutti gli accorgimenti del caso (firewall soft e router) è difficile che le porte 139 ecc... siano accessibili dall'esterno , quindi l'exploit comunque non può essere attuato

[gerko]

Quote:

Originariamente inviato da Phoenix2005

Ritornando invece all'hotfix, quest'ultimo dovrebbe proteggerti (se applicato con successo), tuttavia, in generale, per questo tipo di minacce (Worm+ransomware), la cosa più sicura è:

- chiudere tutte le porte in entrata ed in uscita
- Aprire solo le porte realmente utilizzate (banalissimo esempio: 80, 443 per il browser)

Questo lo si ottiene in 4 modi:

1) Router (l'apparato deve consentire la gestione delle porte)
2) Firewall Hardware
3) PC-Firewall Hardware tramite distro linux
4) Firewall Software (va bene anche quello di Windows)

Io ho il Firewall software che ogni nuovo tentativo di connessione mi chiede se essere abilitato.(Uso la parte firewall di Roboscan, anche se l'antivirus è disattivato in quanto non più aggiornato). Quindi dovrei essere relativamente tranquillo?

[Robby The Robot]

Quote:

Originariamente inviato da Phoenix2005

Pentest-tools ti fornisce tutta una serie di tools per verificare la sicurezza della tua rete, tra cui portscan dalla 1 alla 65535...nel mio caso si blocca quasi subito (probabilmente perché sul mio firewall hardware sono impostati i parametri anti-flood & anti-ping TCP/UDP

Primo test TCP:

Codice:

Starting Nmap ( http://nmap.org ) at 2017-05-17 14:27 EEST
Initiating Ping Scan at 14:27
Scanning [...] [4 ports]
Completed Ping Scan at 14:27, 1.34s elapsed (1 total hosts)

[+] Nmap scan report for [...] [host down]
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn

Nmap done: 1 IP address (0 hosts up) scanned in 1.41 seconds
           Raw packets sent: 8 (304B) | Rcvd: 76 (4.969KB)

Test rifatto con il parametro -Pn:

Codice:

Starting Nmap ( http://nmap.org ) at 2017-05-17 14:32 EEST
Initiating SYN Stealth Scan at 14:32
Scanning [...] [65535 ports]
SYN Stealth Scan Timing: About 1.49% done; ETC: 15:07 (0:34:03 remaining)
SYN Stealth Scan Timing: About 3.92% done; ETC: 15:06 (0:32:15 remaining)
SYN Stealth Scan Timing: About 8.17% done; ETC: 15:06 (0:30:32 remaining)
SYN Stealth Scan Timing: About 13.01% done; ETC: 15:06 (0:28:52 remaining)
SYN Stealth Scan Timing: About 17.86% done; ETC: 15:06 (0:27:12 remaining)
SYN Stealth Scan Timing: About 22.87% done; ETC: 15:05 (0:25:31 remaining)
Discovered open port 30005/tcp on [...]
SYN Stealth Scan Timing: About 28.86% done; ETC: 15:06 (0:23:43 remaining)
SYN Stealth Scan Timing: About 51.82% done; ETC: 14:52 (0:09:24 remaining)
SYN Stealth Scan Timing: About 87.70% done; ETC: 14:44 (0:01:29 remaining)
Completed SYN Stealth Scan at 14:43, 645.53s elapsed (65535 total ports)

[+] Nmap scan report for [...]
Host is up (0.073s latency).
Not shown: 65534 filtered ports

PORT      STATE SERVICE
30005/tcp open  unknown


Nmap done: 1 IP address (1 host up) scanned in 645.66 seconds
           Raw packets sent: 131123 (5.769MB) | Rcvd: 1544 (178.857KB)

Test UDP (sempre con il parametro -Pn):

Codice:

Test result:
Starting Nmap 6.00 ( http://nmap.org ) at 2017-05-17 14:58 EEST
Initiating UDP Scan at 14:58
Scanning [...] [65535 ports]
UDP Scan Timing: About 3.05% done; ETC: 15:15 (0:16:24 remaining)
UDP Scan Timing: About 6.70% done; ETC: 15:14 (0:15:33 remaining)
UDP Scan Timing: About 11.54% done; ETC: 15:14 (0:14:41 remaining)
UDP Scan Timing: About 16.69% done; ETC: 15:14 (0:13:49 remaining)
UDP Scan Timing: About 21.84% done; ETC: 15:14 (0:12:57 remaining)
UDP Scan Timing: About 26.99% done; ETC: 15:14 (0:12:05 remaining)
UDP Scan Timing: About 32.11% done; ETC: 15:14 (0:11:14 remaining)
UDP Scan Timing: About 37.29% done; ETC: 15:14 (0:10:22 remaining)
UDP Scan Timing: About 41.09% done; ETC: 15:17 (0:11:17 remaining)
UDP Scan Timing: About 47.60% done; ETC: 15:17 (0:10:15 remaining)
UDP Scan Timing: About 53.36% done; ETC: 15:16 (0:08:35 remaining)
Completed UDP Scan at 15:08, 616.59s elapsed (65535 total ports)
[+] Nmap scan report for [...]
Host is up (0.075s latency).
Not shown: 65534 open|filtered ports
PORT STATE SERVICE
161/udp closed snmp
Nmap done: 1 IP address (1 host up) scanned in 616.68 seconds
Raw packets sent: 65561 (1.838MB) | Rcvd: 4542 (307.342KB)

Da quello che leggo la porta 30005 è aperta, non so il perché.
Come dovrei interpretare le altre righe che ho evidenziato in viola?

[Robby The Robot]

Quote:

Originariamente inviato da Phoenix2005

open|filtered = il portscan non riesce a determinare con certezza lo stato della porta: ''dovresti'' essere protetto…

Ah, "dovrei" ('nnamo bene!)

Quote:

Originariamente inviato da Phoenix2005

161/udp closed snmp: è chiusa, quindi grandi pericoli non ce ne sono: dovrebbe essere collegata a qualche apparato hardware legittimo
https://www.speedguide.net/port.php?port=161

C'è modo di capire di cosa si tratta? Potrebbe essere l'UPS?

Quote:

Originariamente inviato da Phoenix2005

PORT STATE SERVICE
30005/tcp open unknown

Ci sono buone probabilità che sia un trojan: se hai un secondo PC installaci sopra un Win da zero e prova ad effettuare lo stesso test sulla 30005
https://www.speedguide.net/port.php?port=30005

Uhm... mi sembra molto strano che ci sia un trojan, sono abbastanza "prudente" (leggi paranoico), scansiono spesso con antivirus (Avast) e antimalware (EEK).
Da una veloce ricerca in Rete mi pare di capire che su moltissimi router ci sia una porta aperta "dedicata" al TR-069 (e sui TP-Link (come il mio) sembra che la porta prescelta sia quella).
Non ho un secondo PC su cui installare Windows.
Seguendo le indicazioni del link, volevo disattivare 'sto TR-069 ma pare non sia possibile, quindi ho settato LAN al posto di WAN, cambiato le password e creato un Virtual Server con un IP locale non utilizzato.
In questo modo la porta in questione risulta Closed (non Stealth) su ShieldsUP.

Consigli ulteriori?

[wing11]

Quote:

Originariamente inviato da wing11

Scusate, ma se si lavora in remoto, collegandosi in terminal server con un PC di studio dove è installato windows 10 pro, come ci si protegge? Cosa dovrei fare per stare tranquillo?

Soluzioni?

[Paky]

ma non era stata postata la procedura per disattivare smb ?

forse ti è sfuggita
e comunque su google è pieno di articoli che spiegano come fare

[ecro]

scusate la domanda forse banale, io ho aggiornato i miei pc ma volevo chiedere con adsl con router (netgear)che ha firewall integrato sono cmq protetto?Grazie

[wing11]

Infatti. Penso di essere stato fortunato. Sul pc/server con Windows 10 pro (sempre aggiornato) ho kaspersky total 2017 sempre aggiornato. Sul router è aperta la porta per oltre terminal server rdp per windows. Come potrei essere sicuro di non avere intrusi? Sempre se si possa essere sicuri.

[gerko]

Quote:

Originariamente inviato da Paky

ovviamente scarica la patch KB4012598
c'è , non vedo perché non metterla

Ho appena visto che c'è anche per XP.

[Paky]

te l'ho segnalata appunto per quello
anche porchè per gli altri sistemi ha numero diverso

[gerko]

A me risulta che anche per Windows 8 è uguale il numero.

[Paky]

si , per 8 , vista , xp e server 2008

[ecro]

Quote:

Originariamente inviato da Phoenix2005

Ottima scelta il Netgear.

Se il firewall integrato è attivo dovresti essere protetto ma per esserne sicuro al 100% sarebbe necessario valutare i paramenti di configurazione interna delle porte in entrata/uscita. In alternativa, la cosa più semplice è fare un portscan in modo da capire se hai porte aperte:
https://www.grc.com/default.htm

sono apposto?


grazie

[Paky]

sei a posto per il servizio upnp , ma quello non è esposto all'esterno da windows vista

era più che altro un problema di XP

[gabmac2]

non avere una rete locale e avere il firewall su rete pubblica è sicuro?
è opportuno attivare anche il firewall del router Telecom?

[gabmac2]

il pc non è in rete, si può vedere anche sulle impostazioni di sicurezza
è meglio abilitare quindi il firewall hardware del router di Alice?

[gabmac2]

quasi quasi opto per .....
"subito".....
in pratica poi viene rimbalzato qualunque tentativo di connessione?

[gabmac2]

in teoria attivando il firewall, con poche eccezioni si può essere molto più tranquilli però, no?

[Paky]

Quote:

Originariamente inviato da PPK

Ho chiesto nelle varie sezioni del forum e per ora hanno risposto in 2 con lo stesso router (che purtroppo avbiamo in pochi) e lo stesso risultato del port scan: 554 (rtsp) aperta!

allora fa la cosa più semplice
crea una regola nel firewall e bloccala

[gabmac2]

perfettamente daccordo, che un uso combinato faccia la forza