Petya Ransomware / Wiper`s Modus Operandi ist alter Wein in einer neuen Flasche

Die Petya Ransomware / Wischer hat Chaos in Europa verursacht, und ein Blick auf die Infektion wurde erstmals in der Ukraine gesehen, als mehr als 12.500 Maschinen wurden kompromittiert. Das Schlimmste war, dass sich die Infektionen auch auf Belgien, Brasilien, Indien und auch die Vereinigten Staaten ausgebreitet hatten. Der Petya hat Wurmfähigkeiten, die es ihm erlauben, sich lateral über das Netzwerk auszubreiten. Microsoft hat eine Richtlinie veröffentlicht, wie Petya angegangen wird,

Petya Ransomware / Wiper

Nach der Ausbreitung der Erstinfektion hat Microsoft nun Hinweise, dass einige der aktiven Infektionen der Ransomware erstmals vom Legitimen beobachtet wurden MEDoc Aktualisierungsprozess. Dies machte es zu einem klaren Fall von Software-Supply-Chain-Angriffen, die bei den Angreifern ziemlich üblich geworden sind, da sie eine Verteidigung auf sehr hohem Niveau erfordern.

Das Bild oben zeigt, wie der Evit.exe-Prozess von dem MEDoc den folgenden Befehl ausführt Englisch: www.germnews.de/archive/dn/1998/02/15.html Interessanterweise wurde der ähnliche Vektor auch von der Cyber ​​- Polizei der Ukraine in der öffentlichen Liste der Kompromissindikatoren erwähnt. Davon abgesehen ist der Petya in der Lage

• Berechtigungsnachweise zu stehlen und die aktiven Sitzungen zu nutzen
• Schaddateien zwischen Rechnern mit den File-Sharing-Diensten
• Missbrauch von SMB-Schwachstellen bei ungepatchten Rechnern übertragen.

Lateraler Bewegungsmechanismus mit Identitätsdiebstahl und Identitätswechsel passiert

Alles beginnt damit, dass Petya ein Anmeldedump-Tool fallen lässt, und zwar in 32-Bit- und 64-Bit-Varianten. Da sich Benutzer normalerweise mit mehreren lokalen Konten anmelden, besteht immer die Möglichkeit, dass eine aktive Sitzung über mehrere Computer hinweg geöffnet ist. Gestohlene Anmeldeinformationen helfen Petya, eine grundlegende Zugriffsberechtigung zu erlangen.

Sobald dies erledigt ist, durchsucht das Petya das lokale Netzwerk nach gültigen Verbindungen auf den Ports tcp / 139 und tcp / 445. Dann ruft es im nächsten Schritt das Subnetz und für jedes Subnetz die Benutzer tcp / 139 und tcp / 445 an. Nach Erhalt einer Antwort kopiert die Malware dann die Binärdatei auf dem Remotecomputer, indem sie die Dateiübertragungsfunktion und die zuvor gestohlenen Anmeldeinformationen verwendet.

psexex.exe wird von der Ransomware von einer eingebetteten Ressource gelöscht. Im nächsten Schritt scannt es das lokale Netzwerk nach admin $ -Freigaben und repliziert sich dann selbst über das Netzwerk. Neben dem Auslöschen von Anmeldeinformationen versucht die Malware auch, Ihre Anmeldeinformationen zu stehlen, indem sie die Funktion CredEnumerateW verwendet, um alle anderen Benutzeranmeldeinformationen aus dem Anmeldeinformationsspeicher abzurufen.

Verschlüsselung

Die Malware entscheidet, das System abhängig von der Verschlüsselung zu verschlüsseln Malware-Prozess-Berechtigungsebene, und zwar durch Einsatz eines XOR-basierten Hashing-Algorithmus, der die Hash-Werte überprüft und als Verhaltensausschluss verwendet.

Im nächsten Schritt schreibt die Ransomware in den Master-Boot-Record und setzt danach das System neu starten. Darüber hinaus nutzt es die Funktionalität für geplante Aufgaben, um den Computer nach 10 Minuten herunterzufahren. Jetzt zeigt Petya eine gefälschte Fehlermeldung gefolgt von einer tatsächlichen Ransom-Meldung an, wie unten gezeigt:

Die Ransomware versucht dann, alle Dateien mit verschiedenen Erweiterungen auf allen Laufwerken außer C: Windows zu verschlüsseln. Der generierte AES-Schlüssel besteht aus einem festen Laufwerk, das exportiert wird und den eingebetteten öffentlichen 2048-Bit-RSA-Schlüssel des Angreifers verwendet, sagt Microsoft.