Kim jest Petya?

PC Format 9/2017

Ransomware, który 27 czerwca zaatakował Ukrainę i stamtąd resztę Europy, był groźnym, ale i bardzo ciekawym przypadkiem infekcji. Śledzimy, skąd się wziął i jak wyglądał ten atak. Grzegorz Łukasik

Jak wyglądała infekcja

Pacjent zero

Departament Cyberpolicji Narodowej Policji na Ukrainie potwierdził, że w wypadku Petyi źródłem infekcji był serwer programu M.E. Doc (odpowiednika polskiego Płatnika), z którego ukraińskie firmy korzystają do rozliczeń podatkowych.

Przestępcy podmienili jedną z regularnie wysyłanych przez program do wszystkich swoich kopii aktualizację na taką zawierającą złośliwy kod. Wirus zaciągnięty na serwer danej firmy rozprzestrzeniał się, korzystając z „konwencjonalnych” mechanizmów.

Atak na firmy umieszczone poza Ukrainą był efektem ubocznym. W pierwszej kolejności zaatakowane zostały firmy mające swoje oddziały na Ukrainie lub utrzymujące połączenia z systemami tamtejszych firm.

Sytuacja jest o tyle ciekawa, że 1 czerwca operator serwerowni hostujacej serwery M.E. Doc został oskarżony o przekierowanie ruchu na infrastrukturę kontrolowaną przez rosyjskie służby specjalne. Analiza backdoora znajdującego się złośliwej aktualizacji wskazuje, że atakujący mieli dostęp do pełnego kodu źródłowego M.E. Doc, co oznacza, że firma M.E. Doc miała od dawna całkowicie przejętą infrastrukturę.

Sposób ataku

Atak ma dwie fazy: szerzenie infekcji i szyfrowanie dysku. Proces inkubacji wirusa trwa kilkadziesiąt minut. W tym czasie Petya rozprzestrzenia się po sieci lokalnej, próbując infekować sąsiednie komputery przy użyciu nazwy użytkownika i hasła wydobytego z komputera pierwszej ofiary. Rozpoczęcie procedury szyfrowania oznacza, że infekowane zostało zakończone.

Malware rozprzestrzenia się, korzystając z:

EternalBlue – tego samego exploita, którego używał WannaCry
Psexec – programu narzędziowego Microsoftu do uruchamiania procesów w zdalnych systemach
Windows Management Instrumentation, czyli komponentu systemu Windows
dziury CVE-2017-0199 umożliwiającej propagację złośliwego oprogramowania przez pakiet Microsoft Office.

W czasie infekcji modyfikowany jest MBR (sektor startowy) i instaluje się w nim oprogramowanie szyfrujące. Po zakończeniu infekowania otoczenia następuje automatyczny restart i rozpoczyna się szyfrowanie plików, a na końcu MBR. Wyłączenie komputera
w tym momencie pozwala na odzyskanie części plików. Po zaszyfrowaniu wyświetlany jest ekran z żądaniem okupu. Szyfrowanie wykorzystuje algorytm AES-128, więc jest niemożliwe do złamania w warunkach domowych.

Petya i NotPetya

Celem ransomware jest wymuszenie okupu, tymczasem szkodnik nie przyniósł wielkich zysków. Atakujacy NotPetya wcale nie musiał być ransomware.
Petya infekuje MBR, zastępuje bootloader Windows, a po restarcie szyfruje tabelę plików i wyświetla komunikat z żądaniem okupu. Aby infekcja mogła nastąpić, wymagane było przyznanie szkodnikowi uprawnień administracyjnych. Jedna z odmian Petyi występowała w komplecie z Mishą, szkodnikiem aktywowanym, gdy Petya nie zadziała. Misha jest typowym ransomware i nie wymaga uprawnień administracyjnych. Wcześniejsze wersje Petyi ukrywały się jako plik PDF załączony do e-maila.

NotPetya wykorzystany w ataku z 2017 roku używa EternalBlue, exploita wykorzystującego lukę w protokole SMB serwera Windows. EternalBlue został prawdopodobnie opracowany przez amerykańską agencję bezpieczeństwa narodowego i wyciekł w kwietniu 2017 r. Dodatkowo procedura szyfrowania została zmodyfikowana tak, że złośliwe oprogramowanie nie może technicznie cofnąć szyfrowania MBR.

Kto za tym stoi?

Dziwne zachowanie malware’u (grupa ofiar, przygotowania do ataku, niszczenie danych) kontrastuje z zaskakującą nieporadnością przestępców kierujących atakiem. Wygląda to, jakby ktoś popełniał błędy celowo, aby udowodnić amatorszczyznę ataku. Problem w tym, że przygotowania były profesjonalne.

Tagi: bezpieczeństwo wirusy porady

Ocena:

Oceń: