Domov      Nastavenia 
RSS English Slovensky

Zahraničné zdroje
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Rozsiahla vlna útokov ransomware

28.06.2017
V utorok 27.6.2017 bol zaznamenaný rozsiahly útok typu ransomware. Útok sa začal na šíriť najprv na Ukrajine a vo viacerých Európskych a mimo-európskych štátoch. Útok je vedený prostredníctvom škodlivého kódu typu ransomware. Po infekcií počítača škodlivý kód zašifruje dáta na infikovanom počítači a pokúsi sa šíriť na lokálnej sieti prostredníctvom prihlasovacích údajov získaných z napadnutého počítača.

Vektory útoku (v súčasnosti sa predpokladá, že sú využívané viaceré uvedené vektory – aktuálne nepotvrdené)

  • Infikovaný email
  • Kompromitovaný upgrade kanál software MeDoc (nástroj na správu daní využívaný na Ukrajine)
  • Exploitovanie yraniteľnosti opravenej v MS17-010 (EternalBlue)

Činnosť škodlivého kódu:
Po infekcií počítača škodlivý kód sa pokúsi získať prihlasovacie údaje z pamäte RAM a pokúsi sa šíriť na ostatné pracovné stanice a servery prostredníctvom jedného z nasledujúcich spôsobov :

  • Zraniteľnosť opravenú v MS17-010 (EternalBlue) : https://vulners.com/search?query=ms17-010
  • PSEXEC s použitím prihlasovacích údajov získaných z pamäte
  • WMIC s použitím prihlasovacích údajov získaných z pamäte

V prípade, že na napadnutom zariadení sú k dispozícií v pamäti prihlasovacie údaje privilegovaného používateľa v doméne (napríklad doménový administrátor), alebo na ďalších pracovných staniciach alebo serveroch je riziko kompletnej kompromitácie infraštruktúry.

V prípade, že v lokálnej sieti nebola aplikovaná záplata MS17-010 na serveri alebo pracovnej stanici, kde sú k dispozícií v pamäti prihlasovacie údaje privilegovaného používateľa v doméne (napríklad doménový administrátor) je riziko kompletnej kompromitácie infraštruktúry.

Cieľom škodlivého kódu je zašifrovať celý NTFS oddiel. V prípade, že škodlivý kód nemá dostatočné práva na zmenu bootloaderu pokúsi sa zašifrovať dostupné súbory súbory nasledujúcich typov : .3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip.

Závažnosť zraniteľnosti:
Kritická

Možné škody:
Kritické (zneprístupnenie údajov v infraštruktúre, znefunkčnenie infraštruktúry)

Technická analýza:

Správy o útoku :

 

Automatické analýzy vzoriek:

 

Technické detaily:

Ďalšie činnosti škodlivého kódu na infikovanej stanici :

  • Vymazanie logov prostredníctvom príkazov :
    • wevtutil cl Setup
    • wevtutil cl System
    • wevtutil cl Security
    • wevtutil cl Application
    • fsutil usn deletejournal /D %c:
  • Vytvorenie scheduled task, ktorá rebootuje zariadenie hodinu po infekcií. Ak je úloha odstránená pred spustením, infekcia ju opätovne nevytvorí
    • schtasks.exe " /TR "%WINDIR%\system32\shutdown.exe /r /f" /ST 03:00

Škodlivý kód je chytaný produktami spoločnosti ESET pod názvom Trójsky kôň Win32/Diskcoder.C. Škodlivý kód je v čase písania varovania detegovaný všetkými najčastejšie používanými antivírusovými riešeniami.

Indikátorz kompromitácie - IOC (zdroj v odkazoch):
Hashe súborov :

  • 71B6A493388E7D0B40C83CE903BC6B04
  • 0df7179693755b810403a972f4466afb
  • 42b2ff216d14c2c8387c8eabfb1ab7d0
  • E595c02185d8e12be347915865270cca
  • e285b6ce047015943e685e6638bd837e
  • a809a63bc5e31670ff117d838522dec433f74bee
  • bec678164cedea578a7aff4589018fa41551c27f
  • d5bf3f100e7dbcc434d7c58ebf64052329a60fc2
  • aba7aa41057c8a6b184ba5776c20f7e8fc97c657
  • 0ff07caedad54c9b65e5873ac2d81b3126754aac
  • 51eafbb626103765d3aedfd098b94d0e77de1196
  • 078de2dc59ce59f503c63bd61f1ef8353dc7cf5f
  • 7ca37b86f4acc702f108449c391dd2485b5ca18c
  • 2bc182f04b935c7e358ed9c9e6df09ae6af47168
  • 1b83c00143a1bb2bf16b46c01f36d53fb66f82b5
  • 82920a2ad0138a2a8efc744ae5849c6dde6b435d
  • 7ca37b86f4acc702f108449c391dd2485b5ca18c
  • 2bc182f04b935c7e358ed9c9e6df09ae6af47168
  • 1b83c00143a1bb2bf16b46c01f36d53fb66f82b5
  • 82920a2ad0138a2a8efc744ae5849c6dde6b435d

IP adresy súvisiace so šírením malvéru :

  • 185.165.29.78
  • 84.200.16.242
  • 111.90.139.247
  • 95.141.115.108

Email, ktorý bol používaný na zasielanie dešifrovacích kľúčov je neaktívny. Odporúčame v žiadnom prípade neplatiť výkupné.

Opatrenia:

  • Aplikácia záplaty MS17-010 na všetkých pracovných staniciach a serveroch v infraštruktúrach
  • Poučiť používateľov s dôrazom na neotváranie spúšťateľných súborov
  • Reštartovanie všetkých pracovných staníc na ktoré sa hlásili doménový administrátori (odstránenie prihlasovacích údajov doménových administrátorov z pamäte)
  • Vypnutie SMBv1 a WMIC (v prípade, že je to možné)
  • Aktualizácia Anti-Malware riešení na všetkých pracovných staniciach a serveroch
  • Implementácia APPlocker na všetkých pracovných staniciach
  • Pravidelne zálohovať
  • Blokovanie spúšťateľných súborov a skriptov v prílohe emailu (je potrebné kontrolovať aj obsah archívov - ZIP, RAR a podobne)
  • Logovanie spúšťaných procesov a powershell scriptov
  • Implementácia hĺbkovej obrany podľa odporúčaní CSIRT.SK https://www.csirt.gov.sk/aktualne-7d7.html?id=120
  • Na všetkých zariadeniach s operačným systémom Windows vytvoriť súbory „C:\Windows\perfc.dat“ a „C:\Windows\perfc". Jedná sa o kill-switch implementovaný v aktuálnom variante škodlivého kódu, ktorý zabráni infikovaniu daného zariadenia.

V prípade napadnutia pracovnej stanice je potrebné ihneď po zistení :

  • Odpojiť pracovnú stanicu od siete
  • Identifikovať rozsah infekcie v infraštruktúre (primárne v lokálnom segmente napadnutého zariadenia, všetky DNS a NetBios mená v cache napadnutého zariadenia)


<< zoznam oznámení