„Petya/NotPetya – analiza tajemniczego malware’u który zaatakował Ukrainę” (SCS 2017)

15 września 2017, 17:09

Podczas IV edycji Security Case Study 2017 Hasherezade wystąpiła z prezentacją „Petya/NotPetya – analiza tajemniczego malware’s który zaatakował Ukrainę”, w której scharakteryzowała głośny malware oraz próbowała odpowiedzieć na najczęściej zadawane pytania odnośnie tej infekcji.

Prezentacja rozpoczęła się od podania ogólnych informacji o infekcji Petya/NotPetya. 27 czerwca na Ukrainie doszło do jej wybuchu. Dotknęła ona również kraje sąsiednie, m.in. Polskę.

Głównym źródłem infekcji było M.E.Doc – ukraińska firma dostarczająca oprogramowanie do rozliczeń podatkowych, a wektorem ataku złośliwa aktualizacja tego oprogramowania. Późniejsza analiza wykazała, że atakujący mieli dostęp do serwerów przedsiębiorstwa na długo przez wybuchem infekcji. Początkowo autorzy analizujący nowe złośliwe oprogramowanie używali innych nazw jak GoldenEye czy PetrWrap, jednak w późniejszym żądaniu okupu atakujący użyli nazw Petya.A/NotPetya.

Analizując zachowanie malware, prelegentka rozpoczęła od omówienia ataków wysokopoziomowych. Petya.A/NotPetya szyfrowała pliki o wybranych rozszerzeniach, następnie dodawała polecenie zrestartowania komputera oraz skanowała inne maszyny w sieci LAN w celu rozsiania infekcji. Ostatecznie Master Boot Record jest nadpisany przez złośliwy bootloader i kernel, który wykonuje kolejny etap ataku (niskopoziomowy) po restarcie.  Prelegentka powiedziała, że kiedy maszyna startuje ponownie, złośliwy kernel jest załadowany zamiast naszego systemu. Po zakończeniu szyfrowania Master File Table (MFT) wyświetlane jest żądanie okupu. Zdaniem prelegentki ten etap wygląda zupełnie jak Petya, jednak brakuje charakterystycznego loga (czaszki) i nazwy malware. Atak niskopoziomowy nie musi zawsze występować. Jeżeli Kaspersky AV jest uruchomiony, malware nie instaluje kernela Petya na początku dysku. Zamiast tego, nadpisuje te sektory losowymi danymi.

Czytaj więcej: Petya - WannaCry na sterydach. Kolejny globalny atak ransomware

W dalszej części prezentacji Hasherezade porównała Petya.A/NotPetya z zeszłorocznymi atakami Petya. Powiedziała, że prawie wszystkie ransomware szyfrują pliki jeden po drugim – Petya również to potrafi, ale możne znacznie więcej. Atakuje ona bootloader a później szyfruje niskopoziomowe struktury na dysku (Master File Table) – uniemożliwiając dostęp do plików. Każda kolejna wersja Petya była poprawiana i wzbogacana. Ostatnia z wersji były niemożliwe do złamania, ale żadna z nich nie infekowała w maszyn w sieci lokalnej.

Porównując Petya.A/NotPetya z Petya z zeszłego roku, prelegentka wskazała, że istnieją różnice, ale bardzo drobne. Baza kodu jest identyczna jak w Goldeneye Petya. Jej zdaniem Petya.A/NotPetya to piracka wersja Petya, a atakujący nie mieli dostępu do kodu źródłego Petya, więc posłużyli się edycją gotowych binariów. Trudno jest również odpowiedzieć czy jest to ransomware czy nie. Z jednej strony żąda okupu, z drugiej jednak, nawet po jego opłaceniu, ofiara nie odzyska danych. Jej zdaniem atakujący świadomie zrezygnowali z przechowywania kopii klucza do szyfrowania. Być może wynikało to z niszczycielskiej intencji twórców, ale również mogło być efektem niedokończenia programu. Takie przypadki miały miejsce wcześniej jak np. w przypadku ransomware Satan, który rozpowszechniał się na niewielką skalę i był niedokończony.

Prelegentka powiedziała, że biorąc pod uwagę wcześniejsze ataki mogła to być ich kontynuacja. Z drugiej strony, jeśli ransomware miał być przykrywką dla niszczycielskich intencji, dlaczego atakujący nie dokończyli tej przykrywki? Fakt, że klucz szyfrujący nie jest przechowywany mógł być z łatwością ukryty, np. poprzez udawanie, że jest wysyłany do martwego serwera CnC.

Petya.A/NotPetya rozpowszechniał się przez skradzione exploity z NSA; ETERNALBLUE, ETERNALROMANCE, DOUBLEPULSAR, podobnie jak WannaCry oraz przez konwencjonalne narzędzia takie jak PsExec czy Wmic. Złamanie klucza nie jest możliwe. Jej zdaniem atak był działaniem profesjonalistów o czym świadczą m.in. metody rozprzestrzeniania się oraz precyzja w wykorzystaniu exploitów.

Kończąc swoją prezentacje, Hasherezade powiedziała, że wciąż nie można odpowiedzieć na pytania czy był to celowo destrukcyjny atak na Ukrainę czy niedokończony ransomware.

KomentarzeLiczba komentarzy: 1
ziomki
sobota, 16 września 2017, 02:23

Niesamowita dziewuszka :-)

Reklama C24-A1
Reklama
Tweets CyberDefence24