Таємниця вірусу Petya A розкрита: це кіберзброя. аналіз коду

02 липня 2017, 13:20 | Технології
фото з InternetUA
Розмір тексту:

Одного разу мені розповіли історію про лікаря-онколога, яка показала своїм студентам знімок ракової пухлини і сказала із захопленням: "Тільки подивіться, який досконалий рак! ".

Саме такі почуття виникають у мене при погляді на код вірусу "Petya A", днями масового атакував.

інформаційні системи в Україні, а потім і по всьому світу. Reverse engineering цього коду здійснили фахівці компанії ISSP (Information Systems Security Partners). Фахівці в сфері інформаційної безпеки можуть самі ознайомиться з цим кодом за посиланням. А для всіх інших я коротко викладу суть того, що може зробити з вашим комп'ютером вірус Petya A.

Напевно, перш за все дуже багатьох вразить така його здатність, що складається з двох пунктів: 1) визначити, чи є на комп'ютері антивірус Касперського, Norton або Semantec; 2) відключити цей антивірус.

Але професіоналів в сфері кібербезпеки це напевно особливо не вразить: для них давно не секрет, що всі серйозне шкідливе програмне забезпечення тестується на вразливість до антивірусу - до тих пір, поки придбає невразливість до нього. Тому антивіруси сьогодні можуть захищати тільки від старих і примітивних шкідливих програм.

Фахівців набагато більше вразять інші здібності "Петі А".

Але перш ніж перейти до них, уточню: як я і прогнозував вже в перший день кібератаки, розшифрувати заражені комп'ютери не вийде: вірус використовує асиметричну криптографію, тобто для кожного зараженого комп'ютера існує персональний private key. Ті, хто знайомий з криптографією, прекрасно розуміє, що це означає, для всіх інших просто скажу, що розшифрувати зашифровані "Петром" диски неможливо. Може, коли-небудь в майбутньому - коли квантові комп'ютери стануть реальністю. А поки з втраченими даними доведеться розпрощатися.

Отже, що зробить «Петя» з вашим комп'ютером, якщо потрапить на нього?.

Після того як він ідентифікує і відключить антивірус, «Петя» зашифрує дані на вашому диску (файли з розширенням (. 3ds. 7z. accdb. ai. asp. aspx avhd. back. bak. cfg. conf. cpp. cs. ctl. dbf.

disk. djvu. doc. docx. dwg. eml. fdb. gz. hdd. kdbx. mail. mdb. msg. nrg. ora. ost. ova. ovf. pdf. php. pmf. ppt. pptx. pst. pvi. py. pyc. rar. rtf. sln. sql. tar. vbox. vbs. vcb. vdi. vfd. vmc), стирає MBR (область завантаження) і очистить логи, щоб максимально ускладнити понімаені того, як до він до вас потрапив. А потім, після перезавантаження, виведе на екран банер з вимогою перевести гроші за розшифровку.

Але це далеко не все. Потрапивши на комп'ютер, вірус запускає програму Мimikatz, за допомогою якої витягує credentials інших хостів, що знаходяться в локальній мережі - і заражає їх. Крім цього, автори доповіді припускають, що вірус залишає на заражених комп'ютерах бекдоров (шляху для подальших вторгнень).

Детально код вірусу ви можете подивитися в доповіді. Але найцікавіше все ж криється в висновках.

Найголовніше: автори доповіді переконані, що нинішня модифікація «Петі» - це не що інше, як кіберзброя.

І це кіберзброя має кілька головних цілей.

1) Приховувати наслідки попередніх атак на кшталт APT (Advanced Persistatnt Threat) - найбільш потужного, складного і небезпечного шкідливого програмного забезпечення, з яким я як-небудь присвячу окремий пост. Це може означати, що атаковані комп'ютери були ще до нинішньої кібератаки заражені якимось шкідливим ПЗ, але що саме воно робило і якої шкоди завдавало, тепер уже ніхто не дізнається. Втім, тим організаціям, які не постраждали від атаки, не завадило б самим ретельним чином перевірити свої жорсткі диски.

2) демонстрація кібермощі і тренування виконання масивних скоординованих кібервторженій.

3) випробування нового кіберзброї і можливостей систем безпеки протистояти йому, особливо швидкість реакції і відновлення атакованих систем.



4) Підготовка до наступній атаці або масованому скоординованого кібервторженію.

5) тренування виконання масового скоординованого кібервторженія в комбінації з елементами гібридної війни.

Отже, тепер ми знаємо, що «Petya A» - це не просто кримінальний інструмент. це кіберзброя. А значить, неминуче буде і наступний кіберудар - набагато серйозніший, ніж цей. І треба використовувати все наявне час для того, щоб приготуватися відбити його з мінімальними втратами.

За матеріалами: issp.ua



Додати коментар
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введіть вірну відповідь         
Новости на русском