Перевод по смыслу статьи из блога Microsoft Technet про новый шифровальщик Petya

27 июня 2017 в Европе началось распространение нового шифровальщика. Первые случаи заражения были выявлены в Украине, где было поражено более 12500 компьютеров. Заражение распространилось на 64 страны, включая Бельгию, Бразилию, Германию, Россию и США.

Новый шифровальщик имеет технологии вируса-червя, что позволяет ему распространяться по зараженным сетям. Новый шифровальщик имеет части кода, похожие на Ransom:Win32/Petya. Однако, этот вариант шифровальщика более сложный.

Для защиты пользователей Microsoft выпустил пакеты обновлений для своих продуктов, включая Windows Defender Antivirus и Microsoft Security Essentials. Их также можно вручную скачать из Malware Protection Center.

Windows Defender Advanced Threat Protection (Windows Defender ATP) автоматически обнаружил поведение нового варианта шифровальщика без дополнительных обновлений.

Доставка и установка

Вероятно, что первоначальное заражение было произведено через продукт украинской компании M.E.Doc, которая разрабатывает ПО для бухгалтерии. По этому поводу сейчас есть активные спекуляции разных сторон. У Microsoft есть подтверждение, что несколько заражений действительно начались из легитимного процесса обновления MEDoc. Microsoft уже указывал на использование злоумышленниками атак software supply chain attacks, использующих последовательные запуски процессов один за другим. Такие вид атак являются опасным трендом и требуют расширенной защиты.

Из телеметрии видно, что процесс обновления MEDoc (EzVit.exe) выполнил командную строку со злонамеренным кодом, совпадающим с поведением атаки 27 июня около 10.30 GMT (13.30 MSK).

Цепочка выполнения процессов подтверждает, что в какой-то момент времени по неизвестным причинам процесс EzVit.exe выполнил следующую командную строку:

Один шифровальщик, несколько техник горизонтального продвижения 

Новый шифровальщик использует несколько техник горизонтального продвижения, позволяющих одному зараженному компьютеру воздействовать на всю сеть:

  • Кража удостоверений или повторное использование открытых сессий.
  • Использование сетевых папок для перемещения зараженного файла на машины внутри сети.
  • Использование легитимных средств для запуска вредоносного кода и использование уязвимостей SMB для компьютеров без установленных патчей.

В следующих разделах мы осветим эти технологии в деталях.

Горизонтальное продвижение, используя кражу удостоверений и олицетворение

Шифровальщик сохраняет инструмент для снятия дампов удостоверений (обычно как файл .tmp в папке %Temp%), который похож на Mimikatz и есть для 32- и 64- разрядных систем. Поскольку пользователи зачастую используют удостоверения с локальными администраторскими привилегиями и у них есть открытые сессии с другими компьютерами, украденные удостоверения могут иметь такой же уровень привилегий и на этих компьютерах.

Как только шифровальщик получает действительные удостоверения, он сканирует локальную сеть для установки соединений по портам tcp/139 и tcp/445. Для контроллеров домена AD и серверов используется специальное поведение: он пытается сперва вызвать функцию DhcpEnumSubnets() для перечисления всех подсетей DHCP. И, если отклик получен, он пытается скопировать код на удаленные машины с помощью стандартных операций, используя украденные удостоверения.

Затем происходит попытка удаленного запуска кода с помощью PSExec или WMIC.

Шифровальщик пытается извлечь из своих ресурсов psexec.exe (обычно переименованный в dllhost.dat). Затем он сканирует сеть на ресурсы admin$, копирует себя в них и пытается удаленно запустить.

В дополнении к снятию дампов удостоверений, шифровальщик также пытается украсть и другие удостоверения с помощью функции CredEnumerateW(). Если имя удостоверения начинается с TERMSRV/ и имеет тип 1 generic, шифровальщик пытается использовать их для распространения по сети.

Шифровальщик использует WMIC для поиска сетевых папок для дальнейшего распространения.

Горизонтальное продвижение с использованием EternalBlue и EternalRomance

Новый шифровальщик использует те же уязвимости SMB, что и WannaCry. Эти уязвимости были закрыты в обновлении безопасности MS17-010. Дополнительно шифровальщик использует второй эксплоит EternalRomance, который тоже был закрыт в MS17-010.

Шифровальщик генерирует пакеты SMBv1 для попытки инфицирования компьютеров.

Шифрование

Процесс шифрования зависит от уровня привилегий, полученных шифровальщиком, и от процессов, найденных на инфицированном компьютере.

Используется простой алгоритм проверки хэша от имени процесса с определенным списком исключений:

Если хэш совпадает с 0x2E214B44, шифровальщик не инфицирует MBR:

Если хэши равны 0x6403527E или 0x651B3005, то сетевая активность (инфицирование через SMBv1) шифровальщика не происходит:

Шифровальщик затем пишет код в загрузочную запись MBR и с помощью задания Планировщика перегружает компьютер. Время перезагрузки выбирается случайным образом и будет отстоять более, чем на 10 минут от текущего времени, например:

После успешной установки в MBR, демонстрируется сообщение, имитирующее проверку и исправление ошибок диска.

И затем демонстрирует сообщение с требованием оплаты:

Шифровальщик пытается перезаписать MBR только в случае запуска с высокими привилегиями, позволяющими это сделать (SeDebugPrivileges).

Шифровальщик пытается зашифровать все файлы со следующими расширениями во всех папках жестких дисков, за исключением C:\Windows:

.3ds .7z .accdb .ai
.asp .aspx .avhd .back
.bak .c .cfg .conf
.cpp .cs .ctl .dbf
.disk .djvu .doc .docx
.dwg .eml .fdb .gz
.h .hdd .kdbx .mail
.mdb .msg .nrg .ora
.ost .ova .ovf .pdf
.php .pmf .ppt .pptx
.pst .pvi .py .pyc
.rar .rtf .sln .sql
.tar .vbox .vbs .vcb
.vdi .vfd .vmc .vmdk
.vmsd .vmx .vsdx .vsv
.work .xls .xlsx .xvd
.zip

Вместо использования функций ReadFile()/WriteFile() используется API для проецирования содержимого файлов в память.

В отличие от других шифровальщиков, у файлов не меняется расширение.

Ключ AES, созданный для шифрования, предназначен для каждого компьютера, и его экспортируют и шифруют с помощью встроенного 800-битного открытого ключа RSA злоумышленника.

В файл README.TXT добавляется уникальный ключ “Your personal installation key:”.

Помимо шифрования файлов, Petya пытается перезаписать MBR и первый сектор VBR. Если шифровальщик запущен с привилегиями SeShutdownPrivilege, SeDebugPrivilege или SeTcbPrivilege, он переписывает MBR, использую прямой доступ к физическому диску:

Перезапись первого сектора VBR:

После процедуры шифрования на диск записывается README.TXT со следующим содержимым:

Шифровальщик чистит логи событий System, Setup, Security, Application, а также лог журнала NTFS.

Обнаружение и исследования с помощью Windows Defender Advanced Threat Protection

Windows Defender ATP – это решение, используемое после атаки. Решение не требует каких-либо обновлений сигнатур. Сенсоры Windows Defender ATP постоянно мониторят и собирают телеметрию, предоставляют средства машинного обучения для обнаружения сценариев и техник горизонтального продвижения и использования средств, используемых современными видами зловредного кода.

Без каких-либо обновлений сигнатур деятельность шифровальщика определяется вот так:

Второй в списке алерт показывает, что распространение dll шифровальщика по сети. При исследовании мы можем видеть пользовательский контекст, используемый для этого распространения. Удостоверение этого пользователя были скомпрометированы и требуется их блокирование. Кроме того можно видеть те системы, на которые пошло распространение.

С помощью Windows Defender ATP корпоративные пользователи Windows могут быстро реагировать на атаки, сходные с Petya, исследовать область распространения, блокировать с помощью Windows Defender Antivirus файлы, которые стали источником заражения и документировать процесс исследования.

Рекомендации по защите

Необходимо использовать все обновления безопасности, выпущенные Microsoft. Кроме того, в новом релизе Windows 10 1703 (Creators Update) были внесены дополнительные улучшения, позволяющие отслеживать современные виды атак.

Для корпоративных компьютеров рекомендуется использовать технологию Device Guard. А если по системным характеристикам вы не можете ее использовать, это хороший повод задуматься об обновлении парка компьютеров на современные.

Используйте Windows Defender ATP для обнаружения деятельности шифровальщиков.

На время распространения эпидемии можно заблокировать порты 139 и 445, отключить SMBv1 и WMI. Но эти блокировки могут значительно повлиять на работоспособность вашей сети.

Обзор шифровальщика Petya
Поделись с друзьями:
Дмитрий Узлов on EmailДмитрий Узлов on FacebookДмитрий Узлов on Linkedin
Руководитель направления проектов компании "Технополис".
MCSE - Cloud Platform and Infrastructure [Charter Member]
MCSE - Productivity

Помогаю компаниям создавать безопасную и надёжную среду для коллективной работы сотрудников, используя облачные технологии.
Метки:    

Отправить ответ

Please Login to comment

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

  Subscribe  
Уведомлять
Перейти к верхней панели