FireEye: Petya использует эксплойт EternalBlue

27 июня 2017 организации по всему миру начали фиксировать вредоносную активность, приписываемую вирусу Petya. На основании предварительных аналитических данных специалисты компании FireEye пришли к выводу, что Petya может распространяться через эксплойт EternalBlue, ранее используемый программой-шифровальщиком WannaCry.

По данным надежных источников и отчетов с открытым исходным кодом вектором проникновения атаки послужило зараженное обновление программного пакета MeDoc, используемого многими украинскими организациями. Свидетельствуют об этом совпадение времени выхода обновления и появления информации о вирусных атаках, а также сообщение о вирусной атаке на корпоративном сайте MeDoc.

Проведенный экспертами FireEye анализ артефактов и сетевого трафика пострадавших позволяет говорить о том, что использовалась модифицированная версия эксплойта EternalBlue SMB. Специалисты FireEye продолжают аналитическую работу по вирусу Petya, в то время как FireEye as a Service (FaaS) активно проводит мониторинг среды клиентов.

В ходе анализа удалось выявить элементы кода, которые включает данная атака:

  • 71b6a493388e7d0b40c83ce903bc6b04
  • e285b6ce047015943e685e6638bd837e

rule CPE_MS17_010_RANSOMWARE {
meta:version="1.1″
//filetype="PE"
author="Ian.Ahl@fireeye.com @TekDefense, Nicholas.Carr@mandiant.com @ItsReallyNick"
date="2017-06-27″
description="Probable PETYA ransomware using ETERNALBLUE, WMIC, PsExec"
strings:
// DRIVE USAGE
$dmap01 = «\\\\.\\PhysicalDrive» nocase ascii wide
$dmap02 = «\\\\.\\PhysicalDrive0» nocase ascii wide
$dmap03 = «\\\\.\\C:» nocase ascii wide
$dmap04 = «TERMSRV» nocase ascii wide
$dmap05 = «\\admin$» nocase ascii wide
$dmap06 = «GetLogicalDrives» nocase ascii wide
$dmap07 = «GetDriveTypeW» nocase ascii wide
// RANSOMNOTE
$msg01 = «WARNING: DO NOT TURN OFF YOUR PC!» nocase ascii wide
$msg02 = «IF YOU ABORT THIS PROCESS» nocase ascii wide
$msg03 = «DESTROY ALL OF YOUR DATA!» nocase ascii wide
$msg04 = «PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED» nocase ascii wide
$msg05 = «your important files are encrypted» ascii wide
$msg06 = «Your personal installation key» nocase ascii wide
$msg07 = «worth of Bitcoin to following address» nocase ascii wide
$msg08 = «CHKDSK is repairing sector» nocase ascii wide
$msg09 = «Repairing file system on » nocase ascii wide
$msg10 = «Bitcoin wallet ID» nocase ascii wide
$msg11 = «wowsmith123456@posteo.net» nocase ascii wide
$msg12 = «1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX» nocase ascii wide
$msg_pcre = /(en|de)crypt(ion|ed\.)/
// FUNCTIONALITY, APIS
$functions01 = «need dictionary» nocase ascii wide
$functions02 = «comspec» nocase ascii wide
$functions03 = «OpenProcessToken» nocase ascii wide
$functions04 = «CloseHandle» nocase ascii wide
$functions05 = «EnterCriticalSection» nocase ascii wide
$functions06 = «ExitProcess» nocase ascii wide
$functions07 = «GetCurrentProcess» nocase ascii wide
$functions08 = «GetProcAddress» nocase ascii wide
$functions09 = «LeaveCriticalSection» nocase ascii wide
$functions10 = «MultiByteToWideChar» nocase ascii wide
$functions11 = «WideCharToMultiByte» nocase ascii wide
$functions12 = «WriteFile» nocase ascii wide
$functions13 = «CoTaskMemFree» nocase ascii wide
$functions14 = «NamedPipe» nocase ascii wide
$functions15 = «Sleep» nocase ascii wide // imported, not in strings
// COMMANDS
// — Clearing event logs & USNJrnl
$cmd01 = «wevtutil cl Setup» ascii wide nocase
$cmd02 = «wevtutil cl System» ascii wide nocase
$cmd03 = «wevtutil cl Security» ascii wide nocase
$cmd04 = «wevtutil cl Application» ascii wide nocase
$cmd05 = «fsutil usn deletejournal» ascii wide nocase
// — Scheduled task
$cmd06 = «schtasks » nocase ascii wide
$cmd07 = «/Create /SC » nocase ascii wide
$cmd08 = " /TN " nocase ascii wide
$cmd09 = «at %02d:%02d %ws» nocase ascii wide
$cmd10 = «shutdown.exe /r /f» nocase ascii wide
// — Sysinternals/PsExec and WMIC
$cmd11 = «-accepteula -s» nocase ascii wide
$cmd12 = «wmic»
$cmd13 = «/node:» nocase ascii wide
$cmd14 = «process call create» nocase ascii wide
condition:
// (uint16(0) == 0×5A4D)
3 of ($dmap*)
and 2 of ($msg*)
and 9 of ($functions*)
and 7 of ($cmd*)
}


Пока одна команда специалистов FireEye занимается расследованием, используя поведенческий анализ вредоносных техник, другая группа экспертов разработала правило YARA, позволяющее организациям проводить ретроспективный анализ сред на наличие вредоносных активностей. Усилия FireEye сосредоточены на техниках злоумышленников, которые составляют основу вредоносной программы: использование SMB-накопителей, язык запроса выкупа, основные функции и API, а также применяемые системные утилиты.

Эксперты FireEye также внимательно ознакомились с отчетами, которые отмечают, что вектором распространения вредоносной программы был email-ловушка, содержащий зараженный документ Office или ссылку на зараженные документы, использующие CVE-2017-0199. Однако специалисты FireEye уверены, что вспышка активности вируса Petya никак не связана CVE-2017-0199, поскольку другие подтверждения отсутствуют.

Появление таких вредоносных программ, как Petya, подчеркивает важность создания организациями эффективной системы защиты от эксплойтов и вирусов-вымогателей. Компания Microsoft предоставила пользователям руководство по защите систем Windows от эксплойта EternalBlue ранее в контексте WannaCry. Четкая стратегия резервного копирования данных, сегментация сети, а также другие средства защиты от вирусов-вымогателей помогут организациям в защите от вредоносных программ и оперативном устранении последствий заражения.

Источник

13.09.2017 09:00:00
Сіз соңғы лебі келеді?
Біздің жазылу Axoft
Әлеуметтік желілерде бізді орындаңыз
Танымал
Axoft в Казахстане получил награду от «Лаборатории Касперского»

Сервисный IT-дистрибьютор Axoft в Казахстане удостоен награды «За помощь в продвижении Kaspersky Cybersecurity Awareness» от «Лаборатории Касперского»

по итогам 2016 финансового года. Награждение состоялось на партнерской конференции производителя в Эдинбурге.

Көбірек
13.09.2017 09:00:00
Acronis представил Acronis Backup 12.5 Advanced

Компания Acronis - мировой лидер в сфере защиты и хранения данных, представляет долгожданный выпуск Acronis Backup 12.5 Advanced.

В данном решении был обновлен функционал, а также добавлены новые эксклюзивные технологии Acronis Active Protection и Acronis Notary.

Көбірек
13.09.2017 09:00:00
Соңғы жаңалықтар
Axoft стал лучшим в продаже решений «Лаборатории Касперского» в мире

Москва, 02 июля 2018 года. – Сервисный IT-дистрибутор Axoft впервые на глобальном уровне был удостоен «Лабораторией Касперского» звания Solution Selling Champion – «Чемпиона по продажам non-endpoint решений» – продуктов, не включающих защиту рабочих станций. Награждение прошло в Санкт-Петербурге на глобальной партнерской конференции «Лаборатории Касперского», собравшей более 110 лучших в мире партнеров и дистрибуторов. Это признание стало возможным благодаря инвестициям компании в развитие компетенций, работе с новыми для рынка продуктами, поддержке со стороны вендора и партнеров Axoft.

Көбірек
02.07.2018 12:54:27
Ivanti запускает Online Marketplace, где можно приобрести надстройки, приложения и коннекторы для всей линейки продуктов Ivanti

Ivanti Marketplace – это интернет-магазин, где клиенты Ivanti смогут получить доступ к дополнительным решениям и расширениям, которые будут дополнять продукты Ivanti во всей линейке. Ivanti Marketplace является универсальной площадкой для клиентов, которые хотят максимально использовать свои инвестиции в продукты Ivanti.

Көбірек
28.03.2018