FireEye: Petya использует эксплойт EternalBlue

27 июня 2017 организации по всему миру начали фиксировать вредоносную активность, приписываемую вирусу Petya. На основании предварительных аналитических данных специалисты компании FireEye пришли к выводу, что Petya может распространяться через эксплойт EternalBlue, ранее используемый программой-шифровальщиком WannaCry.

По данным надежных источников и отчетов с открытым исходным кодом вектором проникновения атаки послужило зараженное обновление программного пакета MeDoc, используемого многими украинскими организациями. Свидетельствуют об этом совпадение времени выхода обновления и появления информации о вирусных атаках, а также сообщение о вирусной атаке на корпоративном сайте MeDoc.

Проведенный экспертами FireEye анализ артефактов и сетевого трафика пострадавших позволяет говорить о том, что использовалась модифицированная версия эксплойта EternalBlue SMB. Специалисты FireEye продолжают аналитическую работу по вирусу Petya, в то время как FireEye as a Service (FaaS) активно проводит мониторинг среды клиентов.

В ходе анализа удалось выявить элементы кода, которые включает данная атака:

  • 71b6a493388e7d0b40c83ce903bc6b04
  • e285b6ce047015943e685e6638bd837e

rule CPE_MS17_010_RANSOMWARE {
meta:version="1.1″
//filetype="PE"
author="Ian.Ahl@fireeye.com @TekDefense, Nicholas.Carr@mandiant.com @ItsReallyNick"
date="2017-06-27″
description="Probable PETYA ransomware using ETERNALBLUE, WMIC, PsExec"
strings:
// DRIVE USAGE
$dmap01 = «\\\\.\\PhysicalDrive» nocase ascii wide
$dmap02 = «\\\\.\\PhysicalDrive0» nocase ascii wide
$dmap03 = «\\\\.\\C:» nocase ascii wide
$dmap04 = «TERMSRV» nocase ascii wide
$dmap05 = «\\admin$» nocase ascii wide
$dmap06 = «GetLogicalDrives» nocase ascii wide
$dmap07 = «GetDriveTypeW» nocase ascii wide
// RANSOMNOTE
$msg01 = «WARNING: DO NOT TURN OFF YOUR PC!» nocase ascii wide
$msg02 = «IF YOU ABORT THIS PROCESS» nocase ascii wide
$msg03 = «DESTROY ALL OF YOUR DATA!» nocase ascii wide
$msg04 = «PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED» nocase ascii wide
$msg05 = «your important files are encrypted» ascii wide
$msg06 = «Your personal installation key» nocase ascii wide
$msg07 = «worth of Bitcoin to following address» nocase ascii wide
$msg08 = «CHKDSK is repairing sector» nocase ascii wide
$msg09 = «Repairing file system on » nocase ascii wide
$msg10 = «Bitcoin wallet ID» nocase ascii wide
$msg11 = «wowsmith123456@posteo.net» nocase ascii wide
$msg12 = «1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX» nocase ascii wide
$msg_pcre = /(en|de)crypt(ion|ed\.)/
// FUNCTIONALITY, APIS
$functions01 = «need dictionary» nocase ascii wide
$functions02 = «comspec» nocase ascii wide
$functions03 = «OpenProcessToken» nocase ascii wide
$functions04 = «CloseHandle» nocase ascii wide
$functions05 = «EnterCriticalSection» nocase ascii wide
$functions06 = «ExitProcess» nocase ascii wide
$functions07 = «GetCurrentProcess» nocase ascii wide
$functions08 = «GetProcAddress» nocase ascii wide
$functions09 = «LeaveCriticalSection» nocase ascii wide
$functions10 = «MultiByteToWideChar» nocase ascii wide
$functions11 = «WideCharToMultiByte» nocase ascii wide
$functions12 = «WriteFile» nocase ascii wide
$functions13 = «CoTaskMemFree» nocase ascii wide
$functions14 = «NamedPipe» nocase ascii wide
$functions15 = «Sleep» nocase ascii wide // imported, not in strings
// COMMANDS
// — Clearing event logs & USNJrnl
$cmd01 = «wevtutil cl Setup» ascii wide nocase
$cmd02 = «wevtutil cl System» ascii wide nocase
$cmd03 = «wevtutil cl Security» ascii wide nocase
$cmd04 = «wevtutil cl Application» ascii wide nocase
$cmd05 = «fsutil usn deletejournal» ascii wide nocase
// — Scheduled task
$cmd06 = «schtasks » nocase ascii wide
$cmd07 = «/Create /SC » nocase ascii wide
$cmd08 = " /TN " nocase ascii wide
$cmd09 = «at %02d:%02d %ws» nocase ascii wide
$cmd10 = «shutdown.exe /r /f» nocase ascii wide
// — Sysinternals/PsExec and WMIC
$cmd11 = «-accepteula -s» nocase ascii wide
$cmd12 = «wmic»
$cmd13 = «/node:» nocase ascii wide
$cmd14 = «process call create» nocase ascii wide
condition:
// (uint16(0) == 0×5A4D)
3 of ($dmap*)
and 2 of ($msg*)
and 9 of ($functions*)
and 7 of ($cmd*)
}


Пока одна команда специалистов FireEye занимается расследованием, используя поведенческий анализ вредоносных техник, другая группа экспертов разработала правило YARA, позволяющее организациям проводить ретроспективный анализ сред на наличие вредоносных активностей. Усилия FireEye сосредоточены на техниках злоумышленников, которые составляют основу вредоносной программы: использование SMB-накопителей, язык запроса выкупа, основные функции и API, а также применяемые системные утилиты.

Эксперты FireEye также внимательно ознакомились с отчетами, которые отмечают, что вектором распространения вредоносной программы был email-ловушка, содержащий зараженный документ Office или ссылку на зараженные документы, использующие CVE-2017-0199. Однако специалисты FireEye уверены, что вспышка активности вируса Petya никак не связана CVE-2017-0199, поскольку другие подтверждения отсутствуют.

Появление таких вредоносных программ, как Petya, подчеркивает важность создания организациями эффективной системы защиты от эксплойтов и вирусов-вымогателей. Компания Microsoft предоставила пользователям руководство по защите систем Windows от эксплойта EternalBlue ранее в контексте WannaCry. Четкая стратегия резервного копирования данных, сегментация сети, а также другие средства защиты от вирусов-вымогателей помогут организациям в защите от вредоносных программ и оперативном устранении последствий заражения.

Источник

Хотите быть в курсе последних событий?
Подпишитесь на рассылку новостей Axoft
Следите за нашими новостями в социальных сетях
Популярное
Axoft в Казахстане получил награду от «Лаборатории Касперского»

Сервисный IT-дистрибьютор Axoft в Казахстане удостоен награды «За помощь в продвижении Kaspersky Cybersecurity Awareness» от «Лаборатории Касперского»

по итогам 2016 финансового года. Награждение состоялось на партнерской конференции производителя в Эдинбурге.

Подробнее
13.09.2017 09:00:00
Acronis представил Acronis Backup 12.5 Advanced

Компания Acronis - мировой лидер в сфере защиты и хранения данных, представляет долгожданный выпуск Acronis Backup 12.5 Advanced.

В данном решении был обновлен функционал, а также добавлены новые эксклюзивные технологии Acronis Active Protection и Acronis Notary.

Подробнее
13.09.2017 09:00:00
Последние новости
Axoft стал единственным дистрибутором Kerio в странах СНГ
Компания Axoft, сервисный IT-дистрибутор, стала единственным дистрибутором Kerio в странах СНГ. В новом статусе Axoft сконцентрируется на повышении узнаваемости Kerio в регионе присутствия среди пользователей, а также решении технических вопросов, возникающих при внедрении и эксплуатации продуктов производителя.
Подробнее
17.09.2017