De Petya Ransomware / Visker har skapt ødeleggelse i Europa, og et glimt av infeksjonen ble først sett i Ukraina da mer enn 12 500 maskiner ble kompromittert. Den verste delen var at infeksjonene også hadde spredt seg over til Belgia, Brasil, India og også USA. Den Petya har orm evner som vil tillate det å spre seg sidelengs på tvers av nettverket. Microsoft har utstedt en veiledning om hvordan det vil takle Petya,
Petya Ransomware / Visker
Etter spredning av den første infeksjonen har Microsoft nå bevis på at noen av de aktive infeksjonene i ransomware ble observert først fra den legitime MEDoc-oppdateringsprosessen. Dette gjorde det til et klart tilfelle av forsyningskjedeangrep som er blitt ganske vanlig med angriperne, siden det krever et forsvar på meget høyt nivå.
Bildet nedenfor viser hvordan Evit.exe-prosessen fra MEDoc utførte følgende kommandolinje. Interessant lik vektor ble også nevnt av Ukraines Cyber Police i den offentlige listen over indikatorer for kompromiss. Det blir sagt at Petya er i stand til
- Stjele legitimasjon og bruke de aktive øktene
- Overføring av ondsinnede filer på tvers av maskiner ved hjelp av fildelingstjenestene
- Misbruker SMB-sårbarheter i tilfelle upatchede maskiner.
Lateral bevegelsesmekanisme som bruker legitimasjonstyveri og etterligning skjer
Alt begynner med at Petya slipper et legitimasjonsverktøy for dumping, og dette kommer i både 32-biters og 64-biters varianter. Siden brukere vanligvis logger inn med flere lokale kontoer, er det alltid en sjanse for at en aktiv økt vil være åpen på flere maskiner. Stjålet legitimasjon vil hjelpe Petya å få et grunnleggende nivå av tilgang.
Når Petya er gjort, skanner det lokale nettverket for gyldige forbindelser på portene tcp / 139 og tcp / 445. Deretter i det neste trinnet kalles det subnet og for hver delnettbrukere tcp / 139 og tcp / 445. Etter å ha mottatt et svar, vil malware deretter kopiere binæret på den eksterne maskinen ved å benytte filoverføringsfunksjonen og legitimasjonene den tidligere hadde klart å stjele.
Psexex.exe blir droppet av Ransomware fra en innebygd ressurs. I neste trinn skanner det det lokale nettverket for admin $ -andeler og replikerer seg selv over nettverket. Bortsett fra legitimasjon av dumping, prøver malware også å stjele dine legitimasjonsbeskrivelser ved å benytte CredEnumerateW-funksjonen for å få alle de andre brukerens legitimasjon fra legitimasjonsbutikken.
kryptering
Malware-enheten bestemmer seg for å kryptere systemet, avhengig av malware-prosessprivilegienivået, og dette gjøres ved å bruke en XOR-basert hashing-algoritme som kontrollerer hashverdiene og bruker den som en utelukkelse av adferd.
I neste trinn skriver Ransomware til hovedoppstartsposten og setter deretter opp systemet for å starte på nytt. Videre bruker den også den planlagte funksjonaliteten til å stenge maskinen etter 10 minutter. Nå viser Petya en falsk feilmelding etterfulgt av en faktisk Ransom-melding som vist nedenfor.
