Blog

A ficha técnica do "ransomware" Petya

Written by Carlos Borges | 29/jun/2017 19:30:00

Em 27 de junho um novo ataque de ransomware afetou diversas localidades no mundo, totalizando até o momento 100 países. Dentre eles estavam Brasil, França, Alemanha, Estados Unidos, Rússia e Ucrânia, um dos mais impactados tendo diversos serviços paralisados também por conta de um outro ciberataque em andamento no país.

Este ransomware tem capacidade de auto replicação e movimentação lateral, além de compartilhar partes de seu código com uma ameaça já conhecida como Petya.

Figura 1: Ransom Notes

Funcionalidades

O malware faz uso dos exploits já conhecidos EternalBlue e EternalRomance, mas utiliza também componentes adicionais para se espalhar em uma rede local com uso do PSEXEC, WMI e Mimikatz.

A partir do módulo Mimikatz implementado, é possível coletar as credenciais em uso na máquina e, com PSEXEC/WMI, se autenticar em outras máquinas pela rede para se espalhar.

Caso haja uma credencial com mais permissões, como domain/enterprise admin, o malware consegue se espalhar em larga escala dentro de uma organização e isto ocorre mesmo em máquinas com patches atualizados.

 
Figura 2: Uso do PSEXEC no processo de movimentação lateral, executando o payload na máquina alvo via rundll32.exe



Figura 3: Criador do Mimikatz confirma uso de seu material no novo malware

 

Outro ponto de destaque é que não há a presença de um killswitch nesta ameaça, como foi no caso do Wanna Cry. Vale lembrar que esta funcionalidade era uma técnica de evasão contra a análise do malware, mas que teve o efeito de limitar seu alcance. Há, no entanto, uma vacina que precisa ser criada manualmente e impede a infecção ao criar um arquivo específico em formato somente de leitura no caminho C:\Windows\perfc.

Figura 4: Rotina que checa a existência do arquivo C:\Windows\perfc

Petya or Not Petya?

O ransomware foi inicialmente reconhecido como Petya por conta de seu comportamento na criptografia do Master File Table, mas há diversas novas funcionalidades que podem identificar esta ameaça como completamente nova.

O ransomware Petya tinha usualmente 3 componentes principais:

  • Um boot loader que faz a criptografia do MFT
  • Um dropper que faz a instalação do payload/boot loader
  • E um módulo de ransomware conhecido também como Misha

Nesta versão somente o boot loader está presente. No entanto, há um dropper próprio, um módulo de usuário de ransomware também próprio, um módulo de worm alterado em cima do EternalBlue original, um módulo recompilado do Mimikatz, dentre outras características... o que levanta tal questionamento.

 

Ransomware or not Ransomware?

Novas descobertas indagam o real objetivo do ransomware. De acordo com a Comae esta implementação do Petya pode não ter exatamente uma funcionalidade de ransomware, mas sim de Wiper, que tem a função exclusiva de destruição de dados. Ao compararem duas versões do Petya, uma de 2016 e a de agora, os pesquisadores identificaram que a versão mais recente ocasiona danos irreversíveis, enquanto a mais antiga possibilita a recuperação dos dados.


                                                                                                            Figura 5: Versões do Petya    

 

Com base nesses fatos, existe uma forte teoria de que, na verdade, o ciberataque tenha sido disparado pela Rússia contra a Ucrânia, enquanto atraía a atenção da mídia para mais um caso de ransomware de escala internacional, como aconteceu com o Wanna Cry. A Ucrânia tem sido alvo de ataques cibernéticos frequentes mas são necessárias mais pesquisas para que esta teoria se corrobore.

 

Pagamento bloqueado

O serviço de email alemão Posteo bloqueou a conta de endereço que estava registrada nas mensagens do ataque. De qualquer forma, vale lembrar que não se recomenda o pagamento do resgate pois não há garantias de recuperação.

 

Vetor de ataque

Até o momento não há evidências de que haja uma funcionalidade de worm que se espalhe via internet, como foi o caso do Wanna Cry que escaneava máquinas vulneráveis ao MS17-010.

O principal vetor até o momento (e potencialmente o inicial) foi o comprometimento de um fornecedor de softwares ucraniano conhecido como M.E.Doc. O processo de atualização de software desta empresa - Ezvit.exe - foi aparentemente subvertido, levando à instalação do ransomware em milhares de máquinas que fazem uso de seus serviços.

Já o fabricante Kasperky indica um outro vetor de infecção: o website da cidade ucraniana de Bahmut (bahmut.com.ua/news/). O ataque vinha sendo entregue via watering hole, ou seja, quando um site confiável é comprometido e infecta os visitantes. No entanto, informaram que o website já foi desinfectado.

                                Figura 6: Cadeia de processos que potencialmente iniciou a infecção do malware na Ucrânia, segundo sistema de telemetria da Microsoft.


Indicadores de comprometimento

Indicadores de arquivo:

FileName

Hash Type

Hash Value

dllhost.dat/ perfc.dat/ perfc.txt

FileHash-SHA256

027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

 

FileHash-SHA1     

34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

 

FileHash-SHA256

64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

 

FileHash-MD5

71b6a493388e7d0b40c83ce903bc6b04

 

FileHash-SHA1

34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

 

FileHash-SHA1

9717cfdc2d023812dbc84a941674eb23a2a8ef06

 

FileHash-SHA1

38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf

 

FileHash-SHA1

56c03d8e43f50568741704aee482704a4f5005ad

 

Indicadores de Shell:

Comportamento

Ação

Deleção de eventos do Windows

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

Tarefa agendada pra reboot da máquina

schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST <time>

Tarefa agendada pra reboot da máquina

cmd.exe /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST <time>

Movimentação lateral via WMI

process call create \”C:\\Windows\\System32\\rundll32.exe \\\”C:\\Windows\\perfc.dat\\\” #1

 

Indicadores de Rede:

Comportamento

Estações de trabalho fazendo scan interno nas portas TCP/139 e TCP/445

Servidores/Domain Controllers fazendo scan interno nas portas TCP/139 e TCP/445

 

Recomendações

  • Aplique os patches de correção do boletim Microsoft MS17-010.
  • A maioria dos fabricantes já possui assinaturas de detecção para uso dos exploits e vacinas para a ameaça. Aplique-as!
  • Bloqueie ou desabilite o protocolo SMB onde for possível - Portas 137 e 138 UDP e TCP 139 e 445.
  • Caso seja necessário parar a rede para evitar a disseminação de uma ameaça, faça de forma planejada: desligue a rede dos usuários (rede física e Wifi) focando na atualização dos servidores e, posteriormente, forçando a atualização das máquinas à medida em que elas são religadas.
  • Valide o processo de backup na empresa e trabalhe com segmentação de rede, fazendo testes periódicos em ambos.
  • Considere o uso de virtual patching para sistemas legados.
  • Adote o gerenciamento sobre o uso de Psexec, wmi e powershell.
  • Adote a monitoração de logs do S.O., rede e tecnologias de segurança.