Sistemlerin Sitesi

Sistemlerin Sitesi

Saldırgan daha sonra sisteme erişimi yeniden sağlamak için Bitcoin'de fidye ödemeyi ister.

 Adı 1995 James Bond filmi Altın Göz'ün kaynaklı olduğu ve silahlı Petya uydusunun, düşük yörünge atom patlamasını patlatmak için tehdit ettiği ve yıkıcı bir elektromanyetik darbe ürettiği. Kötü amaçlı yazılım versiyonu daha sinematik olmasına rağmen, dünya çapında yıkım izi bırakmıştır.

Daha yeni varyantlar (NotPetya, orijinal 2016 versiyonundan farklı olarak), WannaCry de dahil olmak üzere son zamanlardaki büyük siber saldırılarda ve NSA'nın EternalBlue veya benzeri istismarlarla yaygınlaştırılan Ukrayna enerji santrallerine saldırılarda kullanıldı.

Jüri, NotPetya'nın ilk teslim edildiği konusuna dikkat çekiyor ancak çoğu, MeDoc adı verilen bir Ukrayna Vergi Muhasebe yazılımı için bir yazılım blog güncelleme paketinin parçası olduğuna inanıyor. Söylenmelere rağmen, NotPetya'nın Microsoft Office belgelerinde güvenlik açıklarını phishing veya sömürme ile ilgili kanıt yok.

Sızma evresi

İlk zararlı yazılım, olasılıkla yazılım güncellemeleri aracılığıyla kurbanın C: \ Windows dizinine indirilen perfc.dat adlı bir dosyaya paketlendi. Bu zararlı yazılımın kaynağı (.rsrc) bölümüne gömülü diğer üç yürütülebilir dosya vardı ve sırasıyla zlib yardımcı programı ile sıkıştırıldı.

İlk iki yürütülebilir dosya kimliği, Mimikatz açık kaynaklı kimlik bilgisi madencisinin nasıl çalıştığına benzer şekilde LSASS Hizmetinden açık metin parolasını (Windows 8.1'den önce) veya parola karmasını (Windows 8.1'den itibaren) istemek suretiyle kullanıcı kimlik bilgilerini kurtarmak için kullanılır. Üçüncü çalıştırılabilir, PSExec aracıdır.

Pivot Evresi

Ana çalıştırılabilir, perfc.dat, alanındaki diğer makineleri keşfetmek için ihraç edilen bir işlevi içerir. Kötü amaçlı yazılım bunu yapar ve TCP 139 portu açık olan makineler için tarar. Daha sonra, yeni keşfedilen makinelere bulaşmak için aşağıdaki dört mekanizmadan bir veya daha fazlasını kullanır:

EternalBlue - SMBv1 güvenlik açığı kullandı ve Hizmet Dağıtımı tablosuna saldırıyor. Bu, Windows 7 ve Windows Server 2008 çalıştıran makinelere bulaştırmak için kullanıldı,

EternalRomance - ayrıca SMBv1 güvenlik açığı üzerinde etkili oldu ve Servis Dağıtımı tablosuna saldırıyor. Bu, Windows XP, Windows Server 2003 ve Windows Vista çalıştıran makinelere bulaştırmak için kullanıldı,

PsExec - Windows Yöneticileri tarafından kullanılan bir araç,

WMI - Başka bir meşru Windows aracı olan Windows Yönetim Araçları.

Yukarıdaki Mekanizmalar 1 ve 2, daha önce virüs bulaşmış bir makineye kalıcı bir arka kapı olan DoublePulsar kötücül yazılımının değiştirilmiş bir versiyonunu düşürmek için kullanılır. Bu teknik desen eşleştirme algoritmaları yoluyla algılamayı önlemeye yardımcı olur.

Mekanizmalar 3 ve 4, geçerli kullanıcının kimlik bilgilerini kullanarak uzak bir kurbana perfc.dat yüklemek için kullanılır.

Saldırı Aşaması

Hedef başarıyla ihlal edildiğinde NotPetya, şifre çözme anahtarlarını kaydetmeden kurban üzerindeki dosyaları RSA şifrelemesi kullanarak şifreler. Ayrıca algılamayı önlemek için Windows olay günlüklerini temizler. Daha sonra NotPetya, bir Windows API kullanarak ayrıcalıkları Yönetici düzeyine yükseltmeye çalışır.

NotPetya ayrıcalıkları başarıyla tırmandırırsa, önyükleme kesimini yıkıcı olarak üzerine yazar. Bu başarısız olursa Kaspersky AV ürününün kurulu olup olmadığını kontrol eder - öyleyse disk sürücüsünün ilk on sektörünü silin. Son olarak, saldırı, kurbanın sistemine maksimum zarar vermesini sağlayan bir sistemin yeniden başlatılmasına neden olur.

ARMAS nasıl yardımcı olur?

Virsec ARMAS, NotPetya dahil gelişmiş saldırılara çok katmanlı savunma sağlar. Aşağıdaki yetenekler, uygulama sunucularını gerçek zamanlı olarak saldırıya karşı korur:

Perfc.dat dosyası diske yazılırken, ARMAS Dosya Sistemi Monitörü (FSM) bütünlüğü denetimi dosyayı anında etkinleştirip karantinaya alır. Bu perfc.dat'ı veya herhangi bir gömülü yürütülebilir dosyanın yeni bir işlem başlatmasını engeller.

EternalBlue veya EternalRomance güvenlik açığı yürürlüğe girdiğinde ve Servis Dağıtım tablosuna saldırırken, ARMAS'ın Bellek Monitörü tablodaki tüm değişiklikleri engelleyecektir ..

EternalBlue / EternalRomance patlatmalarının engellenmesi, DoublePulsar kötü amaçlı yazılımlarının kurbanın işlem belleğine girmesini önler.

Sunucudaki dosyaları şifrelemek için yapılan herhangi bir girişim, ARMAS FSM tarafından mikrosaniyeleri ile algılanır ve engellenir. Şifrelenmiş olabilecek tüm dosyalar, Virsec'in Write-Once, Read-Many (WORM) sürücülerle sağladığı entegrasyonlarla otomatik olarak geri yüklenebilir.

Kritik OS API'lerinin bağlamsal kullanımını izleyen ARMAS İşlem Monitörü, önyükleme sektörünü çöpe atmak için gereken ayrıcalıkları tırmandırma girişimini engelleyecektir.

Sonuç

NotPetya, son derece yıkıcı bir fidye saldırısıdır. Bir kurban fidye ödese bile (asla iyi bir fikir değildir), etkilenen makine kurtarılamaz. Model eşleme, buluşsal yöntemler, makine öğrenimi veya yapay zekaya (AI) bağımlı olan güvenlik ürünlerinin çoğu, bu saldırı tekniklerinin bazılarına veya tümüne karşı savunmasızdır ve bellek tabanlı saldırıları tamamen özlüyorlar.