„Petya/NotPetya – analiza tajemniczego malware’u który zaatakował Ukrainę” (SCS 2017)

Piątek, 15 Września 2017, 15:09

Podczas IV edycji Security Case Study 2017 Hasherezade wystąpiła z prezentacją „Petya/NotPetya – analiza tajemniczego malware’s który zaatakował Ukrainę”, w której scharakteryzowała głośny malware oraz próbowała odpowiedzieć na najczęściej zadawane pytania odnośnie tej infekcji.

Prezentacja rozpoczęła się od podania ogólnych informacji o infekcji Petya/NotPetya. 27 czerwca na Ukrainie doszło do jej wybuchu. Dotknęła ona również kraje sąsiednie, m.in. Polskę.

Głównym źródłem infekcji było M.E.Doc – ukraińska firma dostarczająca oprogramowanie do rozliczeń podatkowych, a wektorem ataku złośliwa aktualizacja tego oprogramowania. Późniejsza analiza wykazała, że atakujący mieli dostęp do serwerów przedsiębiorstwa na długo przez wybuchem infekcji. Początkowo autorzy analizujący nowe złośliwe oprogramowanie używali innych nazw jak GoldenEye czy PetrWrap, jednak w późniejszym żądaniu okupu atakujący użyli nazw Petya.A/NotPetya.

Analizując zachowanie malware, prelegentka rozpoczęła od omówienia ataków wysokopoziomowych. Petya.A/NotPetya szyfrowała pliki o wybranych rozszerzeniach, następnie dodawała polecenie zrestartowania komputera oraz skanowała inne maszyny w sieci LAN w celu rozsiania infekcji. Ostatecznie Master Boot Record jest nadpisany przez złośliwy bootloader i kernel, który wykonuje kolejny etap ataku (niskopoziomowy) po restarcie.  Prelegentka powiedziała, że kiedy maszyna startuje ponownie, złośliwy kernel jest załadowany zamiast naszego systemu. Po zakończeniu szyfrowania Master File Table (MFT) wyświetlane jest żądanie okupu. Zdaniem prelegentki ten etap wygląda zupełnie jak Petya, jednak brakuje charakterystycznego loga (czaszki) i nazwy malware. Atak niskopoziomowy nie musi zawsze występować. Jeżeli Kaspersky AV jest uruchomiony, malware nie instaluje kernela Petya na początku dysku. Zamiast tego, nadpisuje te sektory losowymi danymi.

Czytaj więcej: Petya - WannaCry na sterydach. Kolejny globalny atak ransomware

W dalszej części prezentacji Hasherezade porównała Petya.A/NotPetya z zeszłorocznymi atakami Petya. Powiedziała, że prawie wszystkie ransomware szyfrują pliki jeden po drugim – Petya również to potrafi, ale możne znacznie więcej. Atakuje ona bootloader a później szyfruje niskopoziomowe struktury na dysku (Master File Table) – uniemożliwiając dostęp do plików. Każda kolejna wersja Petya była poprawiana i wzbogacana. Ostatnia z wersji były niemożliwe do złamania, ale żadna z nich nie infekowała w maszyn w sieci lokalnej.

Porównując Petya.A/NotPetya z Petya z zeszłego roku, prelegentka wskazała, że istnieją różnice, ale bardzo drobne. Baza kodu jest identyczna jak w Goldeneye Petya. Jej zdaniem Petya.A/NotPetya to piracka wersja Petya, a atakujący nie mieli dostępu do kodu źródłego Petya, więc posłużyli się edycją gotowych binariów. Trudno jest również odpowiedzieć czy jest to ransomware czy nie. Z jednej strony żąda okupu, z drugiej jednak, nawet po jego opłaceniu, ofiara nie odzyska danych. Jej zdaniem atakujący świadomie zrezygnowali z przechowywania kopii klucza do szyfrowania. Być może wynikało to z niszczycielskiej intencji twórców, ale również mogło być efektem niedokończenia programu. Takie przypadki miały miejsce wcześniej jak np. w przypadku ransomware Satan, który rozpowszechniał się na niewielką skalę i był niedokończony.

Prelegentka powiedziała, że biorąc pod uwagę wcześniejsze ataki mogła to być ich kontynuacja. Z drugiej strony, jeśli ransomware miał być przykrywką dla niszczycielskich intencji, dlaczego atakujący nie dokończyli tej przykrywki? Fakt, że klucz szyfrujący nie jest przechowywany mógł być z łatwością ukryty, np. poprzez udawanie, że jest wysyłany do martwego serwera CnC.

Petya.A/NotPetya rozpowszechniał się przez skradzione exploity z NSA; ETERNALBLUE, ETERNALROMANCE, DOUBLEPULSAR, podobnie jak WannaCry oraz przez konwencjonalne narzędzia takie jak PsExec czy Wmic. Złamanie klucza nie jest możliwe. Jej zdaniem atak był działaniem profesjonalistów o czym świadczą m.in. metody rozprzestrzeniania się oraz precyzja w wykorzystaniu exploitów.

Kończąc swoją prezentacje, Hasherezade powiedziała, że wciąż nie można odpowiedzieć na pytania czy był to celowo destrukcyjny atak na Ukrainę czy niedokończony ransomware.



Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz

3 komentarze

ktos Sobota, 16 Września 2017, 10:13
Sądzę że to była Korea Północna, to zawsze można powiedzieć która zaatakowała bogatą Ukrainę dla okupu.
Poważnie to biorąc pod uwagę że Ukraina jest w stanie wojny a deweloper/dystrybutor MEDoc miał odwiedziny antyterrorystów w siedzibie firmy i jest podejrzany o kontakty z rosyjskimi służbami to oczywiście skłaniałbym się w kierunku tezy że za atakami stoi Korea Północna :)
To jest ciekawe zjawisko że przy incydentach w których właściwie żadne publiczne dowody nie są znane wszyscy są wstanie wskazać na hura sprawców ataku a w przypadku gdy sprawa wydaje się relatywnie jasna pojawia się tyle wątpliwości
Kacper Sz. Czwartek, 21 Września 2017, 17:47
no niby Ukraina biedna, ale przy takiej skali ataku to i tak nieźle zarobili - zanim udowodniono że odszyfrowywanie danych jest niemożliwe, ludzie chętnie płacili. gdbyby nie było informacji że klucz jest nie do odzyskania to pewnie płaciliby dalej. moim zdaniem winę ponosi M.E.Doc - wiedząc że mają taką skalę zasięgu a jednocześnie pozwalając na to żeby jakaś grupa (nie ważne przestępcza czy wywiadowcza) siedziała u nich miesiącami... oczywiście niektórzy zaraz uruchomią teorie spiskowe, ale zawyczaj to jest zwykłe niedbalstwo. żenujące błędy po ich stronie doprowadziły do tego - a atak wcale nie był bardziej skomplikowany niż inne ataki przeprowadzane przez zwykłe grupy cybercrime.
NotSoEasy Sobota, 23 Września 2017, 11:51
Nie wiem czy w przypadku incydentów bezpieczeństwa można wskazywać jednoznacznie winowajców bo nie jestem zwolennikiem teorii że włamań można uniknąć, sądzę raczej że można skutecznie ograniczać ich skutki i w takim wypadku wskazywanie winnych jest chyba sprawą drugorzędną.
Gdyby z M.E.Docem się nie udało znaleźli by pewnie inną drogę dotarcia do sieci, faktem jest natomiast że w przypadku szeroko stosowanego oprogramowania mechanizm aktualizacji jest punktem krytycznym dla bezpieczeństwa bo pozwala w szybkim czasie uzyskać dostęp do dużej liczby maszyn.