Вірус Petya - аналіз, защітаNice Design
Взято: https://nice-design.com.ua
, Як втім і інші види вірусів, використовує спосіб зараження через вкладення в email з офісними розширеннями - doc, docx, xls, xlsx, rtf. Рідше можуть використовуватися і інші типи файлів - js, pif тощо.
Після завантаження та відкриття такого вкладення з малваре «Petya», відбудеться установка зловреда, при цьому використовується вразливість CVE-2017-0199.
Після цього запустяться 2 основних потоку:
- Petya використовує добре знайому вразливість (CVE-2017-0144) в першому потоці і намагається інфікувати інші комп'ютери в мережі. Даний експлойт був викрадений з арсеналу АНБ США хакерами Shadow Brokers і викладений у відкритий доступ 14 квітня.
- При недавньої атаці WannaCry в травні цього року, була використана та ж сама вразливість.
- У другому потоці Petya робить дамп LSA для отримання паролів доменних і локальних вже перевірений адміністратором сайту облікових записів. (Аналог mimicatz x86, x64), і після цього заражає інші комп'ютери в мережі за допомогою PsExec або команди WMI.
Все це дозволяє Petya заразити всю мережу, якщо є хоча б одна інфікована машина з паролем адміністратора в LSA. Це відрізняє Petya від WannaCry, де було потрібно, щоб всі комп'ютери мали уразливий SMB v1. (EternalBlue).
Команди, які виконує вірус для очищення системного журналу ОС і журналу NTFS (wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal)
Щоб перевірити чи інфікований вже комп'ютер, вірус використовує файл «c: \ windows \ perfc.dat» (kill switch).
Тому, щоб захистити систему від Petya, слід створити файл perfc.dat в папці C: \ Windows і виставити права «Тільки для читання» C: \ Windows \ perfc.dat Однак немає ніякої гарантії, що в наступній атаці вірус не змінить назву.
Після паузи в 30-40 хвилин «Petya» шифрує локальні файли, намагається підмінити MBR і MFT і піти в перезавантаження. Потім користувач бачить на екрані зловісний картинку 🙁
Захист від подібних атак?
- Вжити заходів протидії mimikatz і технікам підвищення привілеїв в мережах Windows.
- Встановити патч KB2871997;
- Ключ реєстру: HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / SecurityProviders / WDigest / UseLogonCredential встановити в 0;
- Переконатися в тому, що паролі локальних адміністраторів на всіх робочих станціях і серверах різні;
- Екстрено поміняти всі паролі привілейованих користувачів (адміністраторів систем) в доменах;
- Ставити патчі від CVE-2017-0199 і EternalBlue (МS17-010);
- Екстрено відбирати адмінських права у всіх, кому вони не потрібні. (Судячи з того, що LSA дампи, занадто багато адмінських прав в мережі або занадто необережні адміни;
- Не дозволяйте користувачам підключати ноутбуки до ЛВС, поки не пропатчити всі комп'ютери в мережі;
- Робіть регулярний Backup всіх критичних систем. В ідеалі використовуйте обидва варіанти - бекап в хмарі і на знімних носіях;
- Впровадити політику нульового довіри і проведіть навчання з безпеки для своїх співробітників;
- Вимкніть SMBv1 в мережі;
- Підпишіться на Microsoft Technical Security Notifications;
Читайте також про вірус JAFF 5 МЛН. ЛИСТІВ НА ГОДИНУ