Контакты
Подписка
МЕНЮ
Контакты
Подписка

Все, что вы хотели узнать о #Petya, но боялись спросить

Все, что вы хотели узнать о #Petya, но боялись спросить

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Все, что вы хотели узнать о #Petya, но боялись спросить

Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Жертвами вымогателя уже стали украинские и российские компании Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК “Люкс", Mondelez International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеком, Киевстар и др. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.

Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жестком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жесткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-м секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1–2 часа, в это время можно успеть запустить команду1 bootrec/fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, следовательно, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере, для данной модификации шифровальщика).

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 г. – примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткойн-кошелек 1Mz7153HMuxXTuR2R1t78mG SdzaAtNbBWX2. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме, – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов. За несколько часов число транзакций увеличилось втрое (см. рисунок).

Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec3, а также с помощью эксплойта, использующего уязвимость MS17-0104 (EternalBlue5). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Шифровальщик также использует общедоступную утилиту Mimikatz6 для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.


В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 г.), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry7 и давали рекомендации8, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла.

Дополнительные рекомендации

Для того чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.

Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей wowsmith123456@pos-teo.net был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

Petya сохранил работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифро- вальщик настолько эффективен.

В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.

Для выявления атаки Petya

Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:

  • C:\Windows\perfс;
  • задача в планировщике Windows с пустым именем и действием (перезагрузка) "%WINDIR%\system32\shut-down.exe /r /f".

Срабатывание правил IDS/IPS:

  • msg: "[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001254; rev: 2;
  • msg: "[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; sid: 10001255; rev: 3;
  • msg: "[PT Open] Trans2 SubCommand 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001256; rev: 2;
  • msg: "[PT Open] Petya ransomware perfc.dat component"; sid: 10001443; rev:
  • msg:"[PT Open] SMB2 Create PSEXESVC.EXE"; sid: 10001444; rev:1.

Сигнатуры:

___________________________________________
1 https://twitter.com/msuiche/status/879722894997278720.
2 https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX .
3 https://technet.microsoft.com/ru-ru/library/bb545021.aspx.
4 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
5 https://vulners.com/seebug/SSV-92952.
6 https://github.com/gentilkiwi/mimikatz.
7 https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/ WannaCry-analytics-rus.pdf.
8 https://www.ptsecurity.com/ru-ru/about/news/250571/?utm_source= slider&utm_content=wannacry-protect.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2017

Приобрести этот номер или подписаться

Статьи про теме