Tag Archives: Windows

Olulised turvanõrkused 2022. aasta 48. nädalal

Lahtine tabalukk

Java raamistikus Quarkus avastati kriitiline turvaviga

Quarkus on avatud lähtekoodiga Java raamistik, mis on mõeldud Java virtuaalmasinate jaoks. Haavatavust CVE-2022-4116 on hinnatud kriitilisuse skooriga 9.8/10.0 ja selle abil on ründajal võimalik potentsiaalselt käivitada pahaloomulist koodi masinas, milles jookseb Quarkuse Dev UI. Selleks peab ohver külastama veebilehte, mis sisaldab pahaloomulist JavaScripti koodi. Sellest tulenevalt võivad ründajad ühe ründevektorina saata Quarkust kasutavatele arendajatele veebilingi, millel klikkides suunatakse ohver pahaloomulist Javascripti sisaldavale veebilehele. Ründe tagajärjel on ründajal potentsiaalselt võimalik masinasse paigaldada muuhulgas näiteks nuhkvara, mis kasutaja(te) klahvivajutusi salvestab (SW, Quarkus).

Kes ja mida peaks tegema?

Selleks, et turvanõrkust ei oleks võimalik ära kasutada, tuleb arendajatel ja/või teenuseomanikel, kelle rakendused/teenused kasutavad Quarkuse raamistiku, veenduda, et kasutatakse Quarkuse versiooni 2.14.2 Final või 2.13.5 Final. Sellisel juhul haavatavus ohtu ei kujuta. Kui uuendamine ei ole võimalik, siis on Quarkus kirjutanud siin ka täpsemalt ühest alternatiivsest vastumeetmest, mida saab sellisel juhul kasutada.

Google paikas ühe Chrome’i nullpäeva turvanõrkuse

Google paikas Chrome’il selle aasta üheksanda nullpäeva turvanõrkuse, mille abil oli ründajal võimalik potentsiaalselt käivitada pahaloomulist koodi ohvri masinas. CVE-2022-4262 jaoks on Google’i hinnangul olemas ka eksploit. Ettevõte ei ole turvavea kohta jaganud täpsemaid detaile, et vähendada selle kuritarvitamist (Google).

Kes ja mida peaks tegema?

Kui te kasutate Chrome’i veebilehitsejat, uuendage see esimesel võimalusel. Chrome peaks uuendused rakendama automaatselt. Kui automaatne uuendamine ei ole lubatud, saate parandusega tarkvaraversiooni rakendada ka manuaalselt. Juhised, kuidas seda  teha, leiate siit.

NVIDIA paikas turvanõrkused videokaartide draiverites

Ettevõte paikas 29 turvanõrkust, mis olid seotud Windowsi ja Linuxi GPU draiveritega (BP, NVIDIA). Seitse turvanõrkust hinnati kõrge kriitilisuse tasemega. Kaks kõige kriitilisemat nõrkust on järgnevad:

CVE-2022-34669 (8.8/10.0) – Haavatavus võimaldab koodi kaugkäitust, õiguste suurendamist, informatsioonile ligipääsemist ja teenusekatkestusi. Turvanõrkust on võimalik lokaalselt kuritarvitada. CVE-2022-34669 võib pakkuda ründajatele viise, kuidas pahavara kõrgema taseme õigustes käivitada, sest üldjuhul kasutavad videokaardi draiverid operatsioonisüsteemis kõrgendatud õiguseid. Seetõttu võib see potentsiaalselt kujutada suurt ohtu mõjutatud süsteemidele.

CVE-2022-34671 (8.5/10.0) – Haavatavus võimaldab sooritada koodi kaugkäitust, üritada süsteemis õigusi suurendada õiguste, ligi pääseda informatsioonile, millele ei peaks ligi pääsema või viia süsteem olukorrani, kus see ei tööta. Turvanõrkust on võimalik ründajal kaugelt kuritarvitada. Haavatavuse kriitilisuse skoor on võrreldes CVE-2022-34669 turvaveaga hinnatud madalamaks, kuna seda on keerulisem edukalt ära kasutada.

Kes ja mida peaks tegema?

Kui te kasutate NVIDIA graafikakaarte, soovitame tutvuda ettevõtte veebilehega siin ja veenduda, et te ei ole turvanõrkuste vastu haavatav. Samalt veebilehelt leiate ka juhised, kuidas mõjutatud draiverid uuendada.

Turvanõrkus võimaldas avada mitmete autode uksi ja neid käivitada

Kübereksperdid avastasid SiriusXM-nimelisest tarkvarast turvanõrkuse, mille abil oli neil võimalik häkkida erinevate autotootjate mudeleid, mis vastavat tarkvara kasutasid. Täpsemalt leidsid nad, et turvanõrkuse abil oli neil võimalik erinevate autode puhul, mis olid toodetud peale 2015. aastat ja mis haavatavat tarkvara kasutasid, muuhulgas lukustada/avada uksi või käivitada auto, teades ainult auto VIN-koodi. Leid illustreerib seda, kuidas autode sõltuvus erinevatest tarkvaralahendustest võib muuta need üha ihaldusväärsemateks sihtmärkideks ründajatele. Turvanõrkus parandati tarkvaratootja sõnul kiiresti ja ühtegi reaalset intsidenti nende sõnul ei toimunud (BP).

RIA analüüsi- ja ennetusosakond

Ülevaade Follina turvanõrkusest Windowsi operatsioonisüsteemis

Nimetus: CVE-2022-30190 või Follina
Rahvusvaheline turvanõrkuse riskiskoor: 7.8/10

Taust
20.06.2022

Mai lõpus avastati ühest analüüsikeskkonnast pahaloomuline Wordi dokument. Dokumendi uurimise käigus selgus, et see võimaldab ründajale pahavara käivitanud kasutaja õigustes koodi kaugkäitust mõjutatud Windowsi operatsioonisüsteemidest. Dokumendi tegi eriliseks aga asjaolu, et pahaloomulise koodi käivitamiseks kasutati legitiimset Windowsi tööriista (Microsoft Diagnostic Tool). Tegu oli turvanõrkusega, mille jaoks väljastas Microsoft 30. mail ametliku hinnangu. Turvapaiga paikamiseni kulus siiski ligi kaks nädalat.  Ohustatud on kõik kasutajad, kes kasutavad Microsoft Office 2013, 2016, 2019 ja 2021 tarkvara ning paikamata Windowsi operatsioonisüsteeme, mis saavad veel turvauuendusi[1].

Mõju maailmas ning Eestis

Turvanõrkust üritatakse hetkel maailmas aktiivselt kuritarvitada. Mitmel juhul on sihtmärkideks valitud Euroopa ja USA ametiasutused[2] ning mitmed riikidega seostatavad küberrühmitused on üritanud seda ära kasutada[3][4]. Ründekatseid on märganud näiteks ka Ukraina CERT[5][6]. Samuti üritatakse turvanõrkuse abil ohvrite seadmetesse paigaldada Qakboti (Qbot) pahavara[7], mille abil varastatakse kasutajatunnuseid ja meilivestluseid. Suure tõenäosusega jätkatakse turvanõrkuse ärakasutamise katseid ka tulevikus

CERT-EEle ei ole siiani teada ühtegi juhtumit, mille puhul oleks pahalastel õnnestunud Eesti küberruumis seda turvanõrkust kuritarvitada. Siiski juhime tähelepanu sellele, et pahavara käivitamine ei eelda makrode kasutamist ega teatud tingimustel isegi pahaloomulise faili avamist. Microsoft väljastas 14.06.2022 mõjutatud süsteemidele ametliku turvapaiga[8]. Tuletame kasutajatele meelde, et hoolimata erinevatest kaitsemeetmetest, tuleb olla kahtlaste kirjade puhul väga ettevaatlik. Paraku ei suuda viirusetõrjetarkvarad tuvastada kõiki erinevaid pahavarade versioone, mida ründajad kasutavad. Arvestades lisaks, kui laialdaselt Microsoft Office’i tooteid Eestis kasutatakse, kujutab turvanõrkus potentsiaalset ohtu nii tavakasutajatele kui ka erinevatele organisatsioonidele Eestis.

Turvanõrkuse kirjeldus ning kuidas seda ära kasutatakse

Algsete näidiste puhul üritati esmalt alla laadida välisest veebiserverist HTMLi fail. Viide sellele failile asus document.xml.rels nimelises failis, mis kirjeldab manusobjektide (embedded objects)kasutamist dokumendis. Manusobjekte kasutab Office’i tarkvara näiteks Exceli tabelite lisamisel Wordi dokumenti[9]

HTMLi faili sisu käivitati omakorda MSDT protokolli URI skeemiga. MSDT protokolli[10] kasutatakse Windowsi operatsioonisüsteemis veateadete edastamiseks Microsofti kasutajatukke. Paraku õnnestub sellega käivitada ka ohvri seadmes pahaloomulisi Powershelli käske.

Mai lõpus avastatud näidise puhul tuvastati, et HTMLi faili oli lisatud rida väljakommenteeritud A tähti[11]. See tundus uurijatele veider, sest kommentaarid ühtegi protsessi ei käivita. Hiljem selgus, et pahavara käivitamiseks olid need tähed siiski hädavajalikud. Nimelt pidi HTML fail olema vähemalt 4096 baiti suur, et Microsofti HTMLi moodul seda töötleks. Kuna pahaloomulised koodiread moodustasid kokku alla 4096 baidi, oli koodi lisaks sisse kirjutatud kommentaaridena ka just needsamad A tähed. Seetõttu sarnaneb Follina turvanõrkus omapäralt haavatavusele CVE-2021-40444, millest on täpsemalt kirjutatud siin.

Viimastel aastatel on palju räägitud makrodest, mida pahaloomulised Microsoft Office’i failid kasutavad pahavara käivitamiseks. Microsoft teatas sel aastal, et blokeerib vaikimisi makrode kasutamise Office’i failide puhul, mis pärinevad internetist [12]. Paraku ei kasuta Follina turvanõrkust kuritarvitav pahavara makrosid, seega ei ole Microsofti kaitsemeetmest siin kasu. Selleks, et pahavara käivituks, peab ohver pahaloomulise Wordi dokumendi avama ja lubama selle redigeerimise.

Ründajal on võimalik pahavara ohvri seadmes käivitada ka selliselt, et ohver ei avagi pahaloomulist dokumenti. Selle jaoks kasutatakse RTF vormingus faili. RTF ehk Rich Text Format on Microsofti loodud vorming, mida suudavad avada paljud erinevad rakendused. Seega kasutatakse seda peamiselt tekstide redigeerimiseks erinevate tekstitöötlustarkvarade vahel. Pahalastel õnnestub RTF faile kuritarvitada aga nii, et pahavara käivitamiseks ei ole ilmtingimata vajalik pahaloomulise dokumendi avamine. Kui kasutajal on Windowsi operatsioonisüsteemis eelvaatepaan (preview pane) lubatud, parsitakse pahaloomulise dokumendi sisu automaatselt ja tema süsteem ongi halvimal juhul kompromiteeritud.

Ühe võimaliku ründe iseloomustus:

  1. Kasutaja saab kirja, mille manusesse on lisatud pahaloomuline dokument.
  2. Kasutaja laeb selle alla enda lokaalsesse süsteemi.
  3. Pahavara käivitamiseks ohvri masinas on kaks võimalust ning see sõltub sellest, kuidas ründaja on asjale lähenenud:
    A) Ohver laadis alla Wordi dokumendi, avab selle ja lubab redigeerimise. Kuna pahavara ei kasuta makrosid, siis käivitatakse see juba redigeerimise lubamisel (vt Pilt1, Pilt2).
    B) Ohver laadis alla pahaloomulise RTF faili. Ta liigub süsteemis faili allalaadimiskausta ja teeb faili aktiivseks. Selle tagajärjel käivitub pahavara, kui kasutatakse eelvaatepaani (preview pane)[13].

Pilt 1. Pahaloomuline Wordi dokument avaneb kaitstud vaates. Redigeerimise lubamisel käivitatakse pahavara.

Pilt 2. Pärast redigeerimise lubamist kuvatakse testkeskkonnas teade, et kasutaja süsteem on kompromiteeritud.

Kõik oleneb muidugi ka süsteemile rakendatud kaitsemeetmetest – kas viirusetõrjetarkvaral õnnestub pahaloomuline fail kahjutuks teha, kas süsteemiga seotud tulemüür suudab ohtu tõrjuda jne. Testimise käigus tuli meil näiteks Windows 10 operatsioonisüsteemi viirusetõrjetarkvara välja lülitada, kuna pahaloomulise koodi käivitamine ei olnud muul viisil võimalik. See aga ei tähenda, et viirusetõrjetarkvara suudab igal korral ohte tõrjuda – ründajad on leidlikud ja leiutavad pidevalt uusi versioone pahavaradest, et viirusetõrjetarkvarad neid ei tuvastaks.

Soovitused

  1. Rakendage esimesel võimalusel väljastatud turvapaik mõjutatud süsteemidele[14]. Kui süsteemides on automaatne uuendamine lubatud, ei pea turvapaika manuaalselt installeerima.
  2. Kui teie organisatsioon on veendunud, et RTF failid ei ole teile vajalikud, soovitame meilifiltrite abil sellised kirjad blokeerida, mille manusesse on RTF failid lisatud.
  3. Microsoft on avalikustanud alternatiivse vastumeetme[15], millega enda süsteeme selle turvanõrkuse eest kaitsta. Soovitame sellega tutvuda, hinnata rakendamise võimalikkust ja võimalusel seda kasutada, kui turvapaiga rakendamine ei ole võimalik.
  4. Koolitada enda organisatsiooni töötajaid mitte salvestama ega avama kahtlaste kirjade manuseid, vaid need kustutama või suunama sellised kirjad infoturbeosakonda. Kui selline võimalus puudub, aitab CERT-EE alati kahtlaste kirjade analüüsimisega. 

Kuidas sai turvanõrkus endale Follina nime?

Rahvusvahelises kogukonnas tuntakse nõrkust ka nimega „Follina“. Sellise nimetuse andis haavatavusele üks esimesi turvanõrkuse analüüsijaid. Ta märkas, et pahaloomulise Wordi dokumendi nimetuses olid numbrid 0438. Kuna seda numbrikombinatsiooni kasutab suunakoodina Follina-nimeline piirkond Itaalias, andiski ta turvanõrkusele just taolise nime[16]. Sel hetkel puudus turvanõrkusel CVE tähis, seega kinnistus selline nimetus mitteametlikult paljude uurijate ja teemast huvitunute seas.

Joonealused viited

[1] https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/

[2] https://www.bleepingcomputer.com/news/security/windows-zero-day-exploited-in-us-local-govt-phishing-attacks/

[3] https://threatpost.com/follina-exploited-by-state-sponsored-hackers/179890/

[4] https://www.bleepingcomputer.com/news/security/windows-msdt-zero-day-now-exploited-by-chinese-apt-hackers/

[5] https://cert.gov.ua/article/40559

[6] https://cert.gov.ua/article/160530

[7] https://isc.sans.edu/forums/diary/TA570+Qakbot+Qbot+tries+CVE202230190+Follina+exploit+msmsdt/28728/

[8] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

[9] https://billdemirkapi.me/unpacking-cve-2021-40444-microsoft-office-rce/

[10] https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/msdt

[11] https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

[12] https://docs.microsoft.com/en-us/deployoffice/security/internet-macros-blocked

[13] https://isc.sans.edu/forums/diary/Quickie+Follina+RTF+Explorer+Preview+Pane/28734/

[14] https://www.bleepingcomputer.com/news/security/microsoft-patches-actively-exploited-follina-windows-zero-day/

[15] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

[16] https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

RIA analüüsi- ja ennetusosakond ning CERT-EE

Petya või… NotPetya

Autor: CERT-EE

Petya lunavaraga nakatunud ostukeskus Kharkyvis.

27. juuni hommikul tabas maailma uus lunavaralaine. Praeguseks on nakatunud mitmete suurettevõtete süsteemid ning on teada, et pahavara levib pärast nakatumist ettevõtete süsteemides ülikiiresti. Esimesed nakatumised toimusid Ukrainas, kus teadaolevalt nakatus pahavaraga üle 12 500 tööjaama. Ööpäeva jooksul on tulnud teateid nakatumistest kokku 64 riigis, sealhulgas Eestis.

Riigi Infosüsteemi Ameti andmetel on Eestis asuvatest ettevõtetest pahavaraga nakatunud kaks Saint-Gobaini kontserni kuuluvat ettevõtet: Ehituse ABC ning üks väiksem tehas. Kolmapäeval kella 10.00 seisuga ükski elutähtsat teenust osutav ettevõte või riigiasutus küberrünnaku ohvriks langemisest ei ole teada andnud. Lisaks on hetkel häiritud Kantar Emori e-teenuste kasutamine, kuna firma otsustas kaitsemeetmena nakatumise vastu oma IT-süsteemid kuni levikumehhanismi tuvastamiseni sulgeda.

Teadaolevalt on tegemist Ransom:Win32/Petya lunavara uue versiooniga, mida praeguseks kutsutakse nii Petyaks kui ka NotPetyaks, kuna osade uurijate arvates on tegemist täiesti uue lunavara versiooniga. Tema tüvi on palju arenenum kui varemnähtud Petya lunavara oma.  Lunavara kasutab levimiseks mitut erinevat meetodit – USA riikliku julgeolekuteenistuse (NSA) sel kevadel lekkinud EternalBlue haavatavust, WMIC (Windows Management Instrumentation Command-line – Windowsi halduse käsurida) ja PSEXEC tööriistu. Seetõttu võivad ka korralikult uuendatud süsteemid nakatuda, kui asutuses pole rakendatud parimad turvapraktikad Windows domeeni kaitsmiseks ja kasutajakontode haldusel. Uuel lunavaral on sarnaselt WannaCryle ussi omadused, mis lubab tal nakatunud võrkude vahel lateraalselt liikuda. Lateraalne tähendab lihtsustatult öeldes, et ründe lähte- ja sihtkoht on samas võrgus.

Täiendus 29.6.2017: Lisandunud on uus info (Kaspersky LabComae Technologies), et tegemist võib olla pahavaraga Wiper, mis on loodud arvutite saboteerimiseks ja hävitamiseks. Pahavara käitub nagu tavaline lunavara, kuid pahavara lähtekoodist leiti, et sellele pole lisatud failide taastamise varianti ning pahavara eesmärk on failid jäädavalt kustutada.

Kohaletoimetamine ja paigaldus

Algne nakatumine paistab hõlmavat Ukraina maksuarvestustarkvara tootja M.E Doc toote MEDoc kasutajaid. Kuigi selle nakatumisvektori ümber liikus mitmeid spekulatsioone nii meedias kui ka infoturbeekspertide hulgas, sealhulgas Ukraina Küberpolitseis, puudusid selle ründevektori kohta konkreetsed tõendid. Microsoftil on praeguseks olemas tõendid, et mõned aktiivsed lunavaraga nakatumised said alguse legitiimsest MEDoc uuendusprotsessist.

All on jälgitud MEDoc tarkvara uuendusprotsessi telemeetriat (EzVit.exe), kus käivitatakse pahatahtlik käsurida, mis vastab täpselt teisipäeval, 27/06/2017, umbes kell 10.30 tuvastatud ründemustrile. Käivitusahela diagramm viib lunavara paigaldamisele ning see omakorda kinnitab, et EzVit.exe protsess MEDocist, siiani tundmatel põhjustel, käivitas järgneva käsurea:

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

Samasugust uuendusvektorit mainis ka Ukraina Küberpolitsei avalikus kompromiteerumisindikaatorite listis, mis hõlmas ka meDoc uuendajat.

Ainult üks lunavara, mitmed lateraalsed liikumistehnikad

Võttes arvesse uuele lunavara lisatud lateraalse liikumise võime, on terve võrgu nakatumiseks vajalik ainult ühe masina nakatumine. Lunavara leviku funktsionaalsus on kombineeritud erinevaid meetodeid kasutades, mille eesmärgid on:

  • kasutajainfo vargus või olemasolevate aktiivsete sessioonide taaskasutamine,
  • failijagamiste kasutamine nakatunud faili jagamiseks samas võrgus asuvate masinate vahel,
  • olemasolevate legitiimsete funktsionaalsuste ärakasutamine laengu käivitamiseks või SMB haavatavuste ärakasutamiseks vananenud tarkvara kasutavates masinates.

Lateraalne liikumine kasutajainfo varguseks ja kellegi teisena esinemiseks

See lunavara paigaldab kasutajainfo varastamiseks loodud tööriista (tavaliselt .tmp fail %Temp% kataloogis), mille koodil on teatavad sarnasused Mimikatziga ja mis on loodud nii 32-bit kui ka 64-bit versioonidena. Kasutajad logivad tihti sisse lokaalse administraatori õigustes kontoga. Kui lunavara käivitub administraatori õigustes, võib sellel sõltuvalt operatsioonisüsteemi versioonist ja rakendatud turvameetmetest õnnestuda mälust kätte saada autentimiseks vajalik info (paroolid, parooliräsid, Kerberos autentimispiletid). Seda infot kasutades võib omakorda olla võimalik saada ligipääs teistele samas domeenis asuvatele masinatele.

Pärast kehtiva kasutajainfo saamist skaneerib lunavara lokaalvõrku tcp/139 ja tcp/445 portidega ühenduste loomiseks. Eriline käitumine on reserveeritud domeenikontrollerite ja serverite jaoks. Lunavara proovib funktsiooni DhcpEnumSubnets() abil leida alamvõrgus kõiki DHCP liisingu saanud hoste. Juhul kui pahavara saab vastuse, proovib ta kopeerida kaugmasinasse binaari kasutades failiedastusfunktsionaalsust ja varastatud kasutajainfot.

Pärast seda proovib pahavara ennast kaugelt käivitada, kasutades kas PSEXEC või WMIC tööriistu. Lunavara üritab paigaldada legitiimse psexec.exe faili, mis on tavaliselt ümber nimetatud dllhost.dat nimeliseks failiks, pahavara enda sees asuvast varjatud ressursist.  Seejärel asub pahavara skaneerima lokaalvõrku admin$ kaustade leidmiseks, misjärel ta kopeerib ennast teistesse võrgus olevatesse arvutitesse ja käivitab vastselt kopeeritud pahavarabinaari kaugelt psexec abil.

Lisaks kasutajainfo kaadumisele (dumpimisele) püüab pahavara ka CredEnumerateW funktsiooni kasutades varastada kasutajainfot, mis on saadaval. Juhul kui kasutaja nimi algab “TERMSRV/” ja tüüp on seatud 1-le (generic), kasutab see antud kasutajainfot võrgus edasilevimiseks.

Lunavara kasutab ka Windows Management Instrumentation Command-line (WMIC) käsurida kaugketaste tuvastamiseks, millele ennast seejärel levitada, kasutades selleks NetEnum/NetAdd). See kasutab kas konkreetse kasutaja duplikaattokenit (olemasolevate sessioonide jaoks) või kasutajanime/parooli kombinatsiooni (legitiimsete tööriistade kaudu levimiseks).

Lateraalne liikumine EternalBlue ja EternalRomance haavatavusi kasutades

Uus lunavara suudab levida ka kasutada varasemalt paigatud SMB haavatavust CVE-2017-0144, laiemalt tuntud kui EternalBlue, mida kasutati ka WannaCry levitamiseks aegunud tarkvara kasutavatel masinatel. Lisaks kasutab Petya ära ka teist haavatavust CVE-2017-0145, laiemalt tuntud kui EternalRomance, millele on ka juba turvapaik olemas.

Petya lunavara puhul on täheldatud nende haavatavuste ärakasutamist SMBv1 pakettide genereerimise näol, mis on kõik XOR 0xCC krüpteeritud, selleks et neid haavatavusi rakendada:

Info mõlema haavatavuse kohta lekitas grupp nimega Shadow Brokers. Märkimisväärne on veelkord see, et mõlemale haavatavusele on Microsoft 14/03/2017 väljastanud turvapaiga: technet.microsoft.com/en-us/library/security/ms17-010.aspx ja support.microsoft.com/en-us/help/4013078/title.

Krüpteerimine

Lunavara krüpteerimiskäitumine olenev pahavara privileegide tasemest ja protsessidest, mis nakatunud masinal jooksevad. Pahavara kasutab selleks lihtsat XOR-baasil räsialgoritmi protsessinime osas ning kontrollib seda järgnevate räsiväärtuste osas, mida käitumismustrist välja jätta:

0x2E214B44 – kui masinas leitakse sellise räsinimega protsess, ei nakata lunavara MBRi.

0x6403527E or 0x651B3005 – juhul kui leitakse selliste räsinimedega protsessid ei teosta lunavara ühtegi võrguga seotud toimingut (nagu näiteks SMBv1 haavatavuse ärakasutamine).

Seejärel kirjutab lunavara otse master boot recordile (MBR) ning seab sisse süsteemi taaskäivituse. See loob ülesande masin 10–60 minuti pärast välja lülitada. Täpne aeg on saadakse (GetTickCount()) kasutades, näiteks:

schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST 14:23

Pärast MBRi edukat muutmist kuvab see alloleva võlts süsteemiteate, mis informeerib kasutajaid vigasest kettast ning annab infot võltskäideldavuse kontrollist:

Pärast taaskäivitust kuvatakse kasutajale juba allolev teade:

Lunavara üritab MBR koodi üle kirjutada vaid juhul, kui ta on omandanud kõrgeima privileegi (näiteks juhul kui SeDebugPrivilege on lubatud).

Lunavara proovib krüpteerida kõiki ketastel olevaid alloleva laiendiga faile kõikides kaustades, välja arvatud C:\Windows:

.3ds     .7z       .accdb .ai

.asp      .aspx    .avhd   .back

.bak     .c         .cfg      .conf

.cpp     .cs        .ctl       .dbf

.disk    .djvu    .doc     .docx

.dwg    .eml     .fdb     .gz

.h         .hdd    .kdbx   .mail

.mdb    .msg    .nrg      .ora

.ost      .ova     .ovf     .pdf

.php     .pmf    .ppt      .pptx

.pst      .pvi      .py       .pyc

.rar       .rtf       .sln      .sql

.tar       .vbox   .vbs     .vcb

.vdi      .vfd     .vmc    .vmdk

.vmsd  .vmx    .vsdx   .vsv

.work   .xls      .xlsx    .xvd

.zip

Erinevalt teistest lunavara liikidest ei tekita Petya/NotPetya failidele lisalaiendit, vaid lihtsalt kirjutab olemasolevad failid üle. Krüpteerimiseks genereeritud AES võtmed on masinapõhised ning need kasutavad ründaja 800-bit suurust RSA avalikku võtit. Pärast krüpteerimist kuvatakse kasutajale README.TXT fail sama tekstiga, mis kasutajatele ekraanilgi kuvatakse. Lunavara tühjendab System, Setup, Security, Application event logid ning kustutab NTFS info.

Kuidas Windows Defenenderi abil leida?

Windows Defender Advanced Threat Protection (Windows Defender ATP) on sissetungimise järgne lahendus, mis pakub modifitseeritud tuvastamist ilma signatuuride uuendamiseta. WDATP sensorid monitoorivad ja koguvad jooksvalt lõpp-punktidest telemeetriat ning pakuvad masinõppe lahendust tavalistele lateraalsetele liikumistehnikatele ja tööriistadele, mida see lunavara kasutab, nagu näiteks PsExec.exe käivitamine teise failinimega ja “perfc.dat” faili loomine teistes kaustades. Ilma lisauuendusteta võib nakatunud masin näha välja nagu alloleval pildil:

Teine alert keskendub lunavara dll faili jagamisele võrgus ning see annab infot Kasutaja konteksti kohta. Allolev kasutaja on kompromiteeritud ning teda võib pidada esimeseks nakatunuks:

Kuidas ennast kaitsta?

Hoia oma Windows 10 süsteeme ajakohastena, sest see tagab Sulle ka ajakohased kaitsemeetodid. Lisakaitsena lubab Windows 10S ainult paigaldada rakendusi, mis pärinevad Windows Store rakendusest, mis mainitud operatsioonisüsteemi kasutajatele omakorda lisakaitset pakub.

Lisaks soovitame veenduda, et on tehtud järgmised uuendused ja toimingud:

Lisalugemist leiate allolevatelt veebilehtedelt: