Представлений аналіз атаки з використанням NotPetya

06 липня 2017, 15:37 | Технології
фото з InternetUA
Розмір тексту:

Дослідник безпеки Антон Черепанов з ESET представив подробиці про первинному векторі атаки NotPetya (Petya. A, ExPetr), що накрила Україну 27 червня поточного року. Відповідно до заяв правоохоронних органів України та експертів ESET, шкідливий потрапив на системи жертв із зараженими Бекдор оновленнями бухгалтерського ПО «M. doc ». Спочатку розробник програми, «Інтелект-сервіс», заперечував причетність до атак, проте потім визнав наявність бекдор в своєму продукті.

Під час дослідження фахівці ESET виявили в одному з легітимних модулів «M. doc »вельми непомітний хитромудрий бекдор. На думку Черепанова, малоймовірно, що впровадити його міг хтось без доступу до вихідного коду програми. Йдеться про модуль з ім'ям файлу ZvitPublishedObjects. dll, написаному за допомогою. NET Framework. Файл розміром 5 МБ містить великий обсяг легітимного коду, що викликається різними компонентами, в тому числі виконуваним файлом ezvit. exe.

Дослідники проаналізували поновлення для «M. doc »за 2017 рік і виявили принаймні три, які містять бекдор (за 14 квітня, 15 травня і 22 червня). Через три дні після виходу травневого поновлення були зафіксовані атаки з використанням здирницькі ПО XData, а через п'ять днів після релізу червневого поновлення Україну атакував NotPetya.

Оновлення за 15 травня містило бекдор, проте 17 травня був випущений ще один апдейт, уже без бекдора. Справа в тому, що друге оновлення стало несподіванкою для хакерів. Вони запустили здирницькі ПО 18 травня, проте більшість користувачів вже встановили патч за 17 травня, тому XData заразив лише мале число систем.

Всі українські підприємства і організації мають унікальний ідентифікаційний код юридичної особи. З його допомогою хакери могли визначити кожну компанію, яка використовує версію «M. doc »з Бекдор. Маючи доступ до їхніх мереж, зловмисники можуть робити різні дії в залежності від поставлених цілей.

Крім ідентифікаційного номера, через «M. doc »бекдор збирає з зараженої системи такі дані, як настройки проксі-серверів і електронної пошти, в тому числі імена користувачів і паролі. Шкідливий записує їх до реєстру Windows як HKEY_CURRENT_USER \ SOFTWARE \ WC зі значеннями імені Cred і Prx.

Примітно, бекдор не вдалося підключитися до жодних зовнішніх C & C-серверів. Шкідливий використовує регулярні запити «M. doc »до офіційного сервера виробника на наявність доступних оновлень. Викрадені дані передаються на сервер у вигляді файлів cookie. Дослідники ESET не проводили експертизу серверів, проте, на їхню думку, вони були зламані. Цю інформацію також підтвердило керівництво «Інтелект-сервісу».




Додати коментар
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введіть вірну відповідь