Tüzük İdari Yapı Bildirimler
Üyelik İşlemleri Belgeler İrtibat
 
Yeni Fidyeci, Eski Teknikler : NotPetya Ransomware
Ana Sayfa
Tüzük
Mevzuat
İdari Yapı
Faaliyetler
Bildirimler
Basın
Üyelik İşlemleri
İrtibat

Belgeler
@bg.org.tr E-Posta Girisi

 
 


 
  Bağlantılar
  duzceninsesi.com.tr
  kemalsener.av.tr
 
  ANA SAYFA > Haberler

Yeni Fidyeci, Eski Teknikler : NotPetya Ransomware

27 Haziran 2017 raporlarına göre Avrupada yeni bir ransomware salgını başladı. İlk Bulaşma Ukrayna da görüldü.

Ardından 12500 makineden daha fazlasına bulaştığı düşünülüyor. Bu salgının 64 ülkede görüldüğü aralarında Belçika Brezilya almanya rusya ve amerika olduğu raporlarda göze çarpan bir detay.




1.jpg 

27 Haziran 2017 raporlarına göre Avrupada yeni bir ransomware salgını başladı. İlk Bulaşma Ukrayna da görüldü.

Ardından 12500 makineden daha fazlasına bulaştığı düşünülüyor. Bu salgının 64 ülkede görüldüğü aralarında Belçika Brezilya almanya rusya ve amerika olduğu raporlarda göze çarpan bir detay.

Yeni Ransomware worm(solucan) yazılım yeteneklerine sahip ve bulaştığı ağ üzerindeki tüm pclere yayılabiliyor.

Araştırmalarımıza göre Ransom:Win32/Petya yazılımına benzer kodlar paylaşıyor. Bu yeni tür ransomware in daha gelişmiş olduğunu söyleyebiliriz.

Müşterilerimizi korumak adına bulut tabanlı güncellemeler yayınladık bu güncellemeler kısa bir süre sonra yerleşik olarak yayınlanacaktır.

Bu güncellemeler bütün ücretsiz Windows Defender Antivirus ve Microsoft security essentials de dahil olmak üzere Microsoft Güvenlik uygulamalarına iletildi.

Bu dosyaların en güncel hallerini Malware Protection Center dan manuel olarak indirebilirsiniz.

Windows Defender Advanced Threat Protection bu yeni tür ramsonware’i hiç bir güncellemeye gerek duymadan tespit edebilmektedir.

PC ye Bulaşma ve Kurulum

İlk enfeksiyon Ukrayna Menşeili MEDoc. Şirketinin vergi ve muhasebe işlerini yürüttükleri tedarik zinciri yazılımına bulaşmış gibi görünüyor.

Bu enfeksiyon güvenlik araştırmacıları, media ekipleri hatta ukraynanın kendi siber polis ekibinin spekülasyonlarıyla sadece ikinci derece delillere dayanarak yayıldı.

Microsoft şuanda elinde bir kaç enfeksiyona dair gerçek deliller bulunuyor(MEDoc update prosesleri de dahil olmak üzere).Daha önce dikkat çektiğimiz bir husus olarak Yazılım Tedarik zinciri atakları tehlikelli ve saldırganlar tarafından bir trend haline gelmiş durumda bundan dolayı gelişmiş bir savunma gereklidir.

27 Haziran da 10:30 civarlarında (GMT saat diliminde) MEDoc Yazılımının Update Proseslerinde(EzViT.exe),Saldırı Şablonuna uyan kötü niyetli komut satırı işlemleri çalıştırdığına işaret eden bir telemetri gözlemledik.

Uygulama zinciri diagramı ransomware kurulumuna yön veriyor. Aşağıda EzViT.exe nin izlemiş olduğu prosesleri göreceksiniz.

Uygulamanın aşağıdaki komutu belli aralıklarla çalıştırdığı gözlemlendi ancak sebebi halen tespit edilemedi.

C:\\\\Windows\\\\system32\\\\rundll32.exe\\” \\”C:\\\\ProgramData\\\\perfc.dat\\”,#1 30

 2.png

Aynı Update vektörü Ukrayna siber polisleri tarafından MEDoc updater dahil olmak üzere genele açık IOCs listelerinde dikkat çekilmiştir.

Tek bir Ransomware, Aynı Anda Bir Çok Yönde Hareket Tekniği

Bu ransomware ile birlikte tek bir makineden bütün bir ağa enfekte olabilme becerisi bir fidye yazılımına gelmiş oldu.
Bu enfeksiyonun bulaşmasından sonra yapabilecekleri aşağıda listelenmiştir.
*Aktif Sessionların tekrar kullanımı ve kimlik bilgilerinin çalınması
*Dosya paylaşımlarının kötü niyetli dosya aktarımı için aynı ağdaki bilgisayarlarda kullanılması
*Meşru Fonksiyonellikleri payload yüklemek için kullanma , yama yapılmamış bilgisayarlar için SMB açıklarını kötüye kullanma
İleriki sekmelerde tüm tüknikleri derinlemesine inceleyeceğiz.

Kimlik Bilgisi Hırsızlığı ve Taklidi Kullanarak Yanal İşlem

Bu ransomware uygulaması, Mimikatz ile kod benzerliklerini paylaşan ve 32-bit ve 64-bit türevlerinde gelen bir kimlik bilgisi döküm aracı bırakır. Kullanıcılar sıklıkla yerel yönetici ayrıcalıklarına sahip hesapları kullanarak oturum açtığından ve etkin oturumlar birden fazla makineye açıldığından, çalınan kimlik bilgileri kullanıcının diğer makinelerde bulundurduğu erişim düzeyini sağlamış olabilir.

Ransomware’in geçerli kimlik bilgileri bulunduğunda yerel ağda tcp/139 ve tcp/445 bağlantı noktalarında geçerli bağlantılar kurmak için tarama yapar. Etki Alanı Denetleyicileri (domain controllers) veya sunucuları için özel bir davranış belirlenmiştir: Bu ransomware, DCP’yi numaralandırmak için tcp/139 ve tcp/445 hizmetleri üzerine tarama yapmadan önce tüm DHCP alt ağlarındaki tüm ana bilgisayarlarda DhcpEnumSubnets() öğesini çağırmaya çalışır. Bir yanıt alırsa, bu kötü amaçlı yazılım, çalınmış kimlik bilgileri içeren normal dosya aktarım işlevlerini kullanarak uzak makinada bir binary’i kopyalamaya çalışır.

Ardından, PSEXEC veya WMIC araçlarını kullanarak, uzaktan, kötü amaçlı yazılımı (malware) çalıştırmaya çalışır.

Ransomware, mevcut geçerli psexec.exe dosyasını (genellikle dllhost.dat olarak yeniden adlandırılır) zararlı yazılım içindeki gömülü bir kaynaktan çekmeye çalışır. Daha sonra yerel ağda admin$ paylaşımları tarar, kendini ağ üzerinden kopyalar ve yeni kopyalanan zararlı yazılım binary dosyasını PSEXEC kullanarak uzaktan yürütür.

Kimlik bilgilerinin ele geçirilmesine (yine burda dumping teriminde ele geçirme kullandım) ek olarak, kötü amaçlı yazılım, kimlik bilgileri deposunda potansiyel olarak depolanmış tüm diğer kullanıcı kimlik bilgilerini almak için CredEnumerateW işlevini kullanarak kimlik bilgilerini çalmaya da çalışır. Eğer bir kimlik bilgisi adı "TERMSRV/" ile başlar ve type 1(generic) olarak ayarlandıysa, bu kimlik bilgilerini ağ üzerinden yaymak için kullanır.

3.png

Farklı makinelerde \\\\Admin$ paylaşımlarına erişmekten sorumlu ransomware kodu

Bu ransomware ayrıca, uzaktaki paylaşımları (NetEnum/NetAdd kullanarak) bulmak için Windows Yönetim Gereçleri Komut satırı (WMIC - Windows Management Instrumentation Command-line) kullanır. Geçerli kullanıcının yinelenen simgesini (mevcut bağlantılar için) veya (uygun/meşru araçlarla yayılmış olan) kullanıcı adı/şifre kombinasyonunu kullanır.

34b9f7.png

WMIC kullanarak uzaktaki bir bilgisayarda kötücül yazılımların başlatıldığını gösteren ekran görüntüsü.

EternalBlue ve EternalRomence Kullanılarak Yapılan Lateral Hareketler

Yeni ransomware Server Message Block (SMB) CVE-2017-0144 açığını da kullanarak da yayılabiliyor ki bu açık EternalBlue ismiyle de anılır. Bahse konu açık WannaCrypt tarafından da kullanılmış ve bu açık sayesinde virüs güncel olmayan bilgisayarlara yayılmıştı. Bu açık MS17-010 Güvenlik Güncellemesi ile kapatılmıştı. Yukarıda bahsedilen EternalBlue açığına ek olarak bu fidye virüsü EternalRomance adıyla da bilinen CVE-2017-0145 açığını da kullanmakta ve yine MS17-010 Güvenlik Güncellemesi ile bu açık da kapanmıştı.

Bu ransomware’in SMBv1 paketleri kullanıp yukarıdaki exploitleri kullanmaya çalıştığını gördük ki bu paketlerin hepsi XOR 0xCC kullanarak şifrelenmişti. Bu paketlerin kullanım amacı, malware kodunda bulunan aşağıdaki adreslerdeki açıkları tetiklemekti:

5.png

6.png 

Bu açıklar ShadowBrokers adıyla bilinen grup tarafından sızdırılmıştı. Buna rağmen şunu belirtmek gerekir ki bu açıklar Microsoft’un 14 Mart 2017 MS17-010 güvenlik güncellemesi ile kapatılmıştı.

Bu açıklara karşı yayınlanmış yamaları (MS17-010) yüklemiş ve SMBv1 paketlerini devredışı bırakmış olan makineler bu spesifik yayılma mekanizmasından etkilenmediler.

Şifreleme

Bu fidye yazılımının şifreleme davranışları, sahip olduğu işlem yetki seviyesine ve makine de çalışmakta olan işlemlere göre değişiyor. Bunu işlem adları üzerinde basit bir XOR tabanlı hash algoritması kullanarak ve bu değerleri aşağıdaki hash değerleri ile kıyaslayarak yapıyor ve nihayetinde davranışını belirliyor:

7.png

*0x2E214B44 - Eğer makinede bu hash isimle bir işlem çalışıyor halde bulunursa fidye virüsü MBR’i enfekte etmiyor.

8.png

0x6403527E or 0x651B3005 Eğer makinede bu hash isimde çalışan uygulamalar bulunursa, virüs ağ’la ilgisi bulunan hiçbir hareketini yapmıyor (SMBv1 açığını sömürmeye çalışmak gibi).

9.png

Daha sonra bu ransomware Master Boot Record’a (MBR) yazar ve ardından sistemi yeniden başlatmaya ayarlar. Planlanmış görevler kurarak o andan en az 10 dk sonra kapanacak şekilde makineyi kurar. Tam olarak belirlenecek olan süre rastgele belirlenir (GetTickCount()). Örneğin:

schtasks /Create /SC once /TN “” /TR “\\shutdown.exe /r /f” /ST 14:23
MBR kaydı başarılı bir şekilde modifiye edildikten sonra, aşağıdaki sahte hata mesajnı gösterir ve sistemde bütünlük kontrolü yapıldığını belirtir:

10.png

Ardından şu fidye mesajını gösterir:

108c85a.png

Virüs sadece en üst düzey yetkiye sahip ise MBR kaydıyla oynama yapar (SeDebugPrivilege yetkisinin etkinleştirilmiş olması gibi).
C:\\Windows: lokasyonu hariç aşağıdaki uzantılara sahip bütün dosyaları şifreler:

.3ds
.7z
.accdb
.ai
.asp
.aspx
.avhd
.back
.bak
.c
.cfg
.conf
.cpp
.cs
.ctl
.dbf
.disk
.djvu
.doc
.docx
.dwg
.eml
.fdb
.gz
.h
.hdd
.kdbx
.mail
.mdb
.msg
.nrg
.ora
.ost
.ova
.ovf
.pdf
.php
.pmf
.ppt
.pptx
.pst
.pvi
.py
.pyc
.rar
.rtf
.sln
.sql
.tar
.vbox
.vbs
.vcb
.vdi
.vfd
.vmc
.vmdk
.vmsd
.vmx
.vsdx
.vsv
.work
.xls
.xlsx
.xvd
.zip

Bu ransomware standart ReadFile()/WriteFile() API leri yerine dosya adresleme API leri kullanır.

12.png

Çoğu diğer fidye virüsünün aksine, bu tehlikeli yazılım, şifrelenmiş dosyalara yeni bir dosya adı uzantısı eklemez. Bunun yerine onların üzerine yazar.

Oluşturulan AES anahtarı makineye özel üretilir ve saldırgana ait gömülü bulunan 800 bit RSA public anahtarı ile şifrelenir ve saldırgana gönderilir.

13.png

Gömülü bulunan RSA public anahtar

14.png

Makine başına 128 bit şifreleme anahtarını çıkaran ve aktarma sırasında RSA public anahtar ile şifreleyen kod
Dosya şifreleme (AES) için kullanılan benzersiz anahtar, tehdidin "Kişisel yükleme anahtarı" bölümünde yazdığı README.TXT dosyasına şifreli biçimde eklenir.

Dosyaları şifrelemenin yanında bu virüs MBR’yi ve VBR’nin ilk sektörünü yeniden yazmayı dener. Eğer bu fidye virüsü SeShutdownPrivilege ya da SeDebugPrivilege ya da SeTcbPrivilege yetkilerinden biriyle çalışırsa kurban makinenin MBR’sini baştan yazar. Aşağıdaki kodlarda gösterildiği üzere virüs direkt olarak drive0 \\\\\\\\.\\\\PhysicalDrive0’a ulaşır:

MBR üzerine yazılan sahte kod:

15.png

VBR nin ilk sektörü üzerine yazma:

16.png

Şifreleme rutinleri tamamlandıktan sonra, virüs aşağıdaki ifadeleri içeren bir README.TXT dosyası bırakır:

Bu ransomware System, Security, Application ve Setup olay kayıtlarını temizler ve NTFS günlük bilgilerini siler.

Windows ATP ile Tespit ve İnceleme

Windows Defender Gelişmiş Tehdit Koruması (Windows Defender ATP) bulaşma sonrası için bir çözümdür aynı zamanda tasarım olarak bu saldırıyı hiçbir güncellemeye ihtiyaç duymadan algılayabilir. Windows Defender ATP sensörleri sürekli olarak uç noktaları uzaktan ölçümler ve bu kayıtları tutar, aynı zamanda bu virüs tarafından da kullanılan yaygın lateral hareket tekniklerine karşı da makine öğrenmesine dayalı tespitler sunar. Örnek olarak, PsExec.exe uygulamasını farklı isimlerle çalışması ve uzaktan paylaşım (UNC) yollarında perfc.dat dosyasının oluşturulması gibi.

Bugün, herhangi bir güncellemeye gerek duymaksızın, virüs bulaşmış bir makine böyle görünür: 

18.png

İkinci alarm, fidye virüsüne ait .dll dosyasının ağ üzerine dağılımını hedefler. Bu olay, dosyayı uzaktan taşımak için kullanılan Kullanıcı bağlamını içerdiğinden, araştırma sırasında yararlı bilgiler sağlar. Bu kullanıcı virüse bulaşmıştır ve hatta temsilen virüsün bulaştığı ilk kurban olarak değerlendirilebilir:

 19.png

Windows Defender ATP ile, işletme müşterileri Petya sızdırmalarını hızlıca tanımlayabilir, saldırının boyutunu inceleyebilir, ve bu saldırıya karşı erkenden tepki verebilir.

Bu Fidye Virüsüne Karşı Korunma

Windows 10’unuzu güncel tutun, bu sayede Windows’un en yeni sürümlerinde yer alan en son özelliklerin ve önleyici hafifletici önlemlerin faydalarını görürsünüz. Creators Güncellemesi ile Windows’u ransomware virüslerine karşı daha korunaklı hale getirdik, hem eski özellikleri geliştirdik hem de yeni nesil teknolojiler sunduk.

Ek bir koruma aşaması olarak Windows 10 S sadece Windows Store uygulamalarını çalıştırır. Windows 10 S kullanıcıları bu tehdite karşı daha korunaklıdır.

Henüz yüklememiş olanlar için MS17-010 güncellemesini en kısa sürede yüklenmesini tavsiye ediyoruz. Bu yamayı kurana kadar aşağıdaki adımları uygulayabilirsiniz:

SMBv1’i devre dışı bırakın, Microsoft Knowledge Base Article 2696547 dökümanında ve daha önceki yazıda belirtildiği gibi.
Router ya da Güvenlik duvarınıza 445 portundan gelen SMB trafiğini engelleme kuralı ekleyin
Bu yazılım 139 ve 445 portlarını kullandığı için bu portlara ait trafiği engelleyerek virüsün ağdaki bilgisayarlara girmesini veya çıkmasını engelleyebilirsiniz. Ek olarak uzaktan WMI ve dosya paylaşımını engelleyebilirsiniz. Bu önlem ağ hareketlerinizi önemli ölçüde aksatacak olmasına rağmen yama uygulanana kadar engelleme yapacaktır.

Windows Defender 1.247.197.0 güncellemesi ile bu virüsü Ransom:Win32/Petya olarak tanımlamaya başlamıştır. Windows Defender Antivirüs bulut tabanlı bir koruma sunarak sizleri en son tehditerden korur.

İşletmeler için, Device Guard kullanın ve cihazı koruma altına alın, bu seçenekle çekirdek seviyesinde sanallaştırma tabanlı güvenlik sağlanır, bu durumda sadece güvenli kaynaklardan uygulamalara çalışma izni verilir ve malware lerin çalışması engellenir.

Windows Defender ATP ile ağınızı izleyin, bu izleme sırasında şüpheli hareketler güvenlik ekibine bildirilir. Windows Defender Advanced Threat Protection – Ransomware response playbook adlı senaryo kitabını inceleyerek Windows ATP yi tehditlere karşı nasıl daha iyi güçlendirerek ağdaki tehditleri tespit edip inceleyip etkisini zayıflatabileceğinizi öğrenebilirsiniz.

Kaynak

Windows 10 Creators Güncellemesi ile Yeni Nesil Fidye Yazılımlardan Korunma: https://blogs.technet.microsoft.com/mmpc/2017/06/08/windows-10-creators-update-hardens-security-with-next-gen-defense

İngilizce Güvenlik Güncellemeleri İndirme Bağlantıları: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x6

Yerel Diller İçin Güvenlik Güncellemeleri : Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

MS17-010 Security Update: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Fidye yazılımlar hakkında genel bilgiler : https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

Risk Göstergeleri

Ağ güvenliğinden sorumlu kişiler için kontrol edebilecekleri bazı göstergeler:
Dosya Göstergeleri
●34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
●9717cfdc2d023812dbc84a941674eb23a2a8ef06
●38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf
●56c03d8e43f50568741704aee482704a4f5005ad

Komut Satırları

Komut satırı günlüğünün bulunduğu ortamlarda, aşağıdaki komut satırları aranabilir:

● Zamanlanmış Yeniden Başlatma: Petya geçerli zamandan itibaren 10 ila 60 dakika arasında yeniden başlatma yapabilir.o schtasks /Create /SC once /TN “” /TR “\\shutdown.exe /r /f” /ST

● cmd.exe /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\\Windows\\system32\\shutdown.exe /r /f” /ST

● Bu, Görev Zamanlayıcı hizmetiyle kayıtlı görevleri yakalayan EventId 106 (Genel Görev Kaydı) aranarak ortaya çıkabilir.Lateral Movement (Remote WMI)

● “process call create \\”C:\\\\Windows\\\\System32\\\\rundll32.exe \\\\\\”C:\\\\Windows\\\\perfc.dat\\\\\\” #1”
Network Göstergeleri
Netflow verilerinin bulunduğu ortamda aşağıdaki taramaları yaparak fidye yazılım kontrolü yapılabilir

●Yerel ağlarını (/24) tcp/139 ve tcp/445 portları kapsamında tarayabilirler.

● Sunucularda (özellikle domain kontrollerinde) birden fazla /24 kapsamı içinde tcp/139 ve tcp/445 portları taranabilir. 

 

 Kaynak



bg.org.tr • info@bg.org.tr