A Petya Ransomware / ablaktörlő Európa-szerte pusztítást okozott, és egy pillantást vetett a fertőzésre Ukrajnában, amikor több mint 12.500 gépet veszélyeztettek. A legrosszabb az volt, hogy a fertőzések Belgiumban, Brazíliában, Indiában és az Egyesült Államokban is elterjedtek. A Petya féreg képességekkel rendelkezik, amelyek lehetővé teszik, hogy oldalirányban terjedjenek a hálózaton. A Microsoft iránymutatást adott ki arról, hogy hogyan fog kezelni Petya,
Petya Ransomware / ablaktörlő
A kezdeti fertőzés elterjedése után a Microsoftnak bizonyíték van arra, hogy a felszabadító szoftverek közül néhányat először megfigyeltek a legitim MEDoc frissítési folyamatból. Ez világossá tette a szoftver-ellátási láncra vonatkozó támadásokat, amelyek eléggé gyakoriak a támadókkal szemben, mivel igen magas szintű védelmet igényel.
Az alábbi képen látható, hogy az Evit.exe folyamat a MEDoc-tól a következő parancssort hajtotta végre: Érdekes módon hasonló vektort emelt az ukrán Cyber Police a kompromisszum indikátorainak nyilvános listáján. Ezt mondta, hogy a Petya képes
- A hitelesítő adatok lefoglalása és az aktív munkamenetek használata
- Gonosz fájlok átvitele a gépeken a fájlmegosztási szolgáltatások használatával
- Az SMB sérülékenységeinek visszaélése a be nem töltött gépek esetében.
Az oldalirányú mozgásmechanizmus a hitelesítő lopás és a megszemélyesítés használatával történik
Mindez azzal kezdődik, hogy a Petya egy hitelesítő dömpingeszközt dob, és ez mind a 32 bites, mind a 64 bites változatokban jön létre. Mivel a felhasználók általában több helyi fiókkal jelentkeznek be, mindig van esély arra, hogy az aktív szekció egyike több gépen is megnyílik. A lopott hitelesítő adatok segítenek Petyának egy alapvető szintű hozzáférést biztosítani.
Miután elkészült, a Petya a tcp / 139 és a tcp / 445 portokon érvényes kapcsolatokra keresi a helyi hálózatot. Ezután a következő lépésben az alhálózatot és minden alhálózati felhasználó számára a tcp / 139 és a tcp / 445-t hívja. Miután megkapta a választ, a malware majd átmásolja a távoli gépen a bináris fájlt a fájl átvitelével és a korábban ellopott hitelesítő adatokkal.
A psexex.exe parancsot a Ransomware letölti egy beágyazott erőforrásból. A következő lépésben a helyi hálózatot átvizsgálja az admin $ megosztókra, majd átmásolja magát a hálózaton keresztül. A hitelesítő dosszión kívül a rosszindulatú szoftverek megpróbálják ellopni hitelesítő adatait a CredEnumerateW funkció használatával annak érdekében, hogy a hitelesítő tároló összes többi felhasználói hitelesítő adatait megkaphassa.
Encryption
A rosszindulatú szoftverek úgy döntenek, hogy titkosítják a rendszert a rosszindulatú programok folyamatának kiváltsági szintjétől függően, és ez egy olyan XOR alapú hasítási algoritmussal történik, amely ellenzi a hash értékeket, és viselkedési kizárásként használja.
A következő lépésben a Ransomware írja a master boot rekordot, majd beállítja a rendszert, hogy újrainduljon. Ezenkívül a tervezett feladatok funkcionalitását a gép leállításához 10 perc elteltével használja. Most Petya egy hamis hibaüzenetet jelenít meg, amelyet egy tényleges Ransom üzenet követ, az alábbiak szerint.