CMC INFOSEC phân tích mã độc Petya – ransomeware này tấn công máy tính của bạn như thế nào?!

  1. INFORMATION

Mã SHA1 của file sample:

  • 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
  • 9717cfdc2d023812dbc84a941674eb23a2a8ef06
  • 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf
  • 56c03d8e43f50568741704aee482704a4f5005ad

Command lines:

Scheduled Reboot Task:  Petya schedules a reboot for a random time between 10 and 60 minutes from the current time:

schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST <time>

exe /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST <time>

Lateral Movement (Remote WMI):

“process call create \”C:\\Windows\\System32\\rundll32.exe \\\”C:\\Windows\\perfc.dat\\\” #1″

Network:

Workstations scanning ports tcp/139 and tcp/445 on their own local (/24) network scope

Servers (in particular, domain controllers) scanning ports tcp/139 and tcp/445 across multiple /24 scopes

TECHNIQUE

Đầu tiên, Ransomware sẽ quét mạng local có kết nối trên các cổng tcp / 139 và tcp / 445. Ngoài ra, với mỗi subnet, Ransomware tập hợp tất cả host / clients (sử dụng DhcpEnumSubnetClients ()) để quét các dịch vụ tcp / 139 và tcp / 445. Nếu nhận được phản hồi từ các cổng TCP trên, Petya sẽ sao chép binary trên máy tính từ xa (remote) bằng cách sử dụng chức năng truyền tệp thông thường (file-transfer) với các thông tin đã bị đánh cắp.

Tiếp theo, Ransomware được remote thông qua PSEXEC bằng cách drop file psexec.exe (thường được đổi tên thành dllhost.dat)  hoặc các tool WMIC có sẵn trên máy người dùng.

Sau đó, Ransomware tiến hành thực thi đoạn binary đã được copy từ trước, scan mạng local để chia sẻ cho admin$ và sao chép chính nó qua  mạng cục bộ trên. (hình dưới)

Ngoài cách dump file psexec.exe, Ransomware còn lấy cắp thông tin bằng cách sử dụng CredEnumerateW nhằm lấy được hết thông tin của người dung đã được lưu trữ từ trước. Như vậy có 2 cách mà Petya dùng để lấy thông tin người dùng: drop file psexec.exe và sử dụng CredEnumerateW.

Đoạn code Ransomware tực hiện truy cập \\ Admin $ trên các máy khác nhau!

Như đã nói ở trên, ngoài cách remote từ xa thông qua PSEXEC, Ransomware cũng sử dụng Windows Command Instrumentation Command (WMIC) để lây lan (sử dụng NetEnum / NetAdd) ( hình dưới ). Hoặc là Ransomware sử dụng các thông tin trùng lặp của người dùng hiện tại (đối với các kết nối đã tồn tại từ trước) hoặc, hoặc kết hợp tên người dùng / mật khẩu (lan truyền qua legit tools).

  • Remote RansomeWare từ xa bằng wmic

    1. Các lỗ hổng bảo mật được sử dụng (EternalBlue và EternalRomance)

Loại Ransomware mới cũng có thể lây lan bằng cách khai thác lỗ hổng Server Message Block (SMB) CVE-2017-0144 (còn gọi là EternalBlue), đã được sửa trong MS17-010 và cũng bị khai thác bởi WannaCrypt. Ngoài ra, Ransomware này cũng sử dụng mã khai thác lỗ hổng thứ hai là CVE-2017-0145 (còn gọi là EternalRomance và tất nhiên là lỗ hổng này đã được fix lại).

Ransomware này cố gắng sử dụng các mã khai thác này bằng cách tạo ra các gói tin SMBv1 (tất cả đều được mã hóa XOR 0xCC) tại đọan code sau của Petya:

  • EternalBlue

Đoạn xor 0xCC

Các máy đã update windows phiên bản mới nhất sẽ không bị ảnh hưởng bởi 2 lỗ hổng này.

MÃ HÓA

Petya thực hiện mã hóa bằng cách dùng XOR-based đơn giản dựa trên tên của các tiến trình, và kiểm tra các giá trị hash như 1 hành vi ngoại lệ:

0x6403527E hoặc 0x651B3005 – nếu những hash này của tên tiến trình được tìm thấy đang chạy trên máy, thì ransomware không khai thác được SMB

0x2E214B44 – nếu một process với tên hash này được tìm thấy, ransomware sẽ lấy đi 10 sector đầu tiên của \\\\. \\ PhysicalDrive0, bao gồm MBR (the master boot record):

Ransomware này sau đó ghi vào MBR (the master boot record) và sau đó thiết lập hệ thống để khởi động lại. Nó thiết lập nhiệm vụ theo lịch trình để tắt máy sau ít nhất 10 phút. Thời gian chính xác là ngẫu nhiên (GetTickCount ()). Ví dụ:schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST 14:23Sau khi sửa đổi thành công MBR, nó sẽ hiển thị thông báo hệ thống giả mạo sau, ghi lại một lỗi giả định trong ổ đĩa và hiển thị thông tin kiểm tra giả:

Sau đó nó sẽ hiển thị thông báo tiền chuộc

Chỉ khi phần mềm độc hại đang chạy với đặc quyền cao nhất (tức là, với tính năng SeDebugPrivilege được bật), nó sẽ cố gắng ghi đè lên mã MBR.Ransomware này cố gắng mã hóa tất cả các tệp với các phần mở rộng tên tệp sau trong tất cả các thư mục trong tất cả các ổ đĩa cố định, ngoại trừ C: \ Windows:

.3ds .7z .accdb .ai
.asp .aspx .avhd .back
.bak .c .cfg .conf
.cpp .cs .ctl .dbf
.disk .djvu .doc .docx
.dwg .eml .fdb .gz
.h .hdd .kdbx .mail
.mdb .msg .nrg .ora
.ost .ova .ovf .pdf
.php .pmf .ppt .pptx
.pst .pvi .py .pyc
.rar .rtf .sln .sql
.tar .vbox .vbs .vcb
.vdi .vfd .vmc .vmdk
.vmsd .vmx .vsdx .vsv
.work .xls .xlsx .xvd
.zip

Nó sử dụng các API để mapping tập tin thay vì sử dụng API ReadFile () / WriteFile () thông thường:

Sau khi hoàn tất thủ tục mã hoá của nó, ransomware này sẽ bỏ một tập tin văn bản có tên README.TXT vào mỗi ổ cứng cố định Nội dung như sau:

Add Comment