Опис криптолокера Petya.C

  • Дата 29/06/2017

Так що насправді трапилося?

Бухгалтерське програмне забезпечення “M.E. Doc” (“MeDoc”), яке в основному використовується в Україні, було скомпрометовано.

Виявлені суттєві докази, що підтверджують це як основний метод зараження і це підтверджено багатьма організаціями. Інші вектори - документи “Excel” та файли “HTA” з вбудованим шкідливим кодом також використовувалися, але набагато менше і не так результативно. Під час аналізу було встановлено, що комп’ютери організації, яка користується програмним забезпеченням “MeDoc”, виявилися зараженою після інсталяції оновлення. Початкові звіти виглядають так, ніби сервер хостингу “upd.me-doc.com.ua” (що належить “my-doc”) розсилав оновлення розміром 333 КБ. Після того, як файл було отримано і запущено, розпочалося шифрування файлів.

Чому всі шоковані

На відміну від “WannaCry”, “Petya” використовує кілька методів для того, щоб скомпрометувати комп'ютери-жертви в дуже короткі терміни. Перша техніка використовує експлоїт “EternalBlue” (MS17-010). Це відбувалося за наступним сценарієм:

1. Програма “psexec” 1.98 збережена в системі за шляхом розміщення “C:\Windows\dllhost.dat”.

2. Техніка, яка використовується “Mimikatz” та іншими інструментами аналізу системного процесу ОС “Windows - “lsadump”, використовується для того, щоб витягнути паролі з пам'яті.

Вилучені паролі аналізуються та використовується при роботі й подальшому зараженні. Ми можемо побачити текстові паролі, які використовуються при виконанні “WMIC” і командному рядку утиліти “psexec”.

3. “Psexec” і “WMIC” використовуються для того, щоб спробувати поширитися мережею, використовуючи отримані дані. Для обох “psexec” і “WMIC” методів зараження, “ADMIN$” ресурс на віддалених машинах повинен бути ввімкнений і доступний для успішної аутентифікації та підключення до віддаленої системи.

4. На віддаленій машині файл буде збережено за шляхом розміщення “C:\Windows\perfc.dat”. В ньому міститься основна частина коду для виконання сценаріїв, включаючи шифрування та розповсюдження мережею з допомогою “WMIC” і “”psexec”. Після того, як “perfc.dat” записаний на диск, він запускається за допомогою “rundll32.exe”, імпортується в оперативну пам'ять і починає свої атаки вже з нової машини. “Rundll32.exe” використовуватися, оскільки “perfc.dat” це бібліотека dll.

Після успішного запуску додається завдання в планувальник “Windows”:

команда schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST XX:XX”

Система перезавантажиться приблизно через годину. За цей час певні типи файлів будуть зашифровані. На фото знаходиться знімок екрану системи після того, як комп'ютер примусово перезавантажився. Можливість отримувати паролі з оперативної пам'яті і розповсюджуватись в мережі за допомогою “psexec” та “WMI”, попередньо використовуючи “EternalBlue” зробили цю конкретну атаку особливо руйнівною. Спостерігалася швидкість до 5000 заражень менш ніж за 15 хвилин. Ці методи часто використовуються зловмисниками на регулярній основі, але компоненти автоматизації і деструктивності робить цей варіант криптолокера особливо небезпечним. Ця атака використовує обліковий запис користувача, створеного в ОС “Windows”, який має адміністративні права на рівні системи. З цими обліковими даними вірус рухається мережею.

Як захиститися

Один з методів - створення або заборона створення файлу “C:\Windows\perfc.dat”.

Що ця атака нам говорить

Ця атака говорить про те, що автоматизація в мережі і цілеспрямовані атаки - це проблема. Використання “нескладених” паролів, як і раніше, спосіб номер один для поширення атаки в мережах. Користувачі, які мають доступ в Інтернет і мають права локального адміністратора, причина пандемії в ряді організацій. Це необхідно змінювати. Що ми можемо взяти від цих конкретних атак? Це те, що ми повинні зосередитися на найкращих практиках.

1. Належне управління оновленнями операційної системи – могло зупинити використання “EternalBlue”.

2. Жодних адміністративних прав – могло позбавити можливості поширення і витягування хешів паролів.

Спеціаліст з Інформаційної безпеки “Gross” Олег Л.

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Ковельська 2, оф. 315

  • +38066 023 70 86+38063 418 22 57
  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top