Тайна вируса Petya A раскрыта: это кибероружие. Анализ кода

02 июля 2017, 11:35 | Технологии
фото с InternetUA
Размер текста:

Однажды мне рассказали историю о враче-онкологе, которая показала своим студентам снимок раковой опухоли и сказала с восхищением: “Только посмотрите, какой совершенный рак! ”.

Именно такие чувства возникают  у меня при взгляде на код вируса “Petya A”, на днях массового атаковавшего

информационные системы в Украине, а затем и по всем миру. Reverse engineering этого кода осуществили специалисты компании ISSP ( Information Systems Security Partners). Специалисты в сфере информационной безопасности могут сами ознакомится с этим кодом по ссылке . А для всех остальных я коротко изложу суть того, что может сделать с вашим компьютером вирус Petya A.

Наверное, прежде всего очень многих впечатлит такая его способность, состоящая из двух пунктов: 1) определить, есть ли на компьютере антивирус Касперского, Norton или Semantec; 2) отключить этот антивирус.

Но профессионалов в сфере кибербезопасности это наверняка особо не впечатлит: для них давно не секрет, что все серьезное вредоносное програмное обеспечение тестируется на уязвимость к антивирусу — до тех пор, пока приобретет неуязвимость к нему. Поэтому антивирусы сегодня могут защищать только от старых и примитивных вредоносных программ.

Специалистов гораздо больше впечатлят иные способности “Пети А”.

Но прежде чем перейти к ним, уточню: как я и прогнозировал уже в первый день кибератаки, расшифровать заражённые компьютеры не получится: вирус использует ассиметричную криптографию, то есть для каждого зараженного компьютера существует персональный private key. Те, кто знаком с криптографией, прекрасно понимает, что это значит, для всех остальных просто скажу, что расшифровать зашифрованные “Петей” диски невозможно. Может, когда-нибудь в будущем – когда квантовые компьютеры станут реальностью. А пока с потерянными данными придётся распрощаться.

Итак, что сделает «Петя» с вашим компьютером, если попадет на него?

После того как он идентифицирует и отключит антивирус, «Петя» зашифрует данные на вашем диске (файлы с расширениями ( .3ds .7z . accdb . ai. asp. aspx avhd . back . bak .c .cfg .conf .cpp .cs .ctl . dbf

. disk . djvu . doc . docx . dwg . eml . fdb . gz. h . hdd . kdbx . mail . mdb . msg . nrg . ora . ost . ova . ovf . pdf . php . pmf . ppt . pptx . pst . pvi . py . pyc .rar .rtf . sln . sql . tar . vbox . vbs . vcb . vdi . vfd . vmc), стирает MBR (область загрузки) и очистит логи, чтобы  максимально усложнить понимаени того,  как к он к вам попал. А затем, после перезагрузки, выведет на экран баннер с требованием перевести деньги за расшифровку.

Но это далеко не все. Попав на компьютер, вирус запускает программу Мimikatz, с помощью которой извлекает credentials остальных хостов, находящихся в локальной сети — и заражает их. Помимо этого, авторы доклада предполагают, что вирус оставляет на зараженных компьютерах бекдоры (пути для последующих вторжений).

Подробно код вируса вы можете посмотреть в докладе. Но самое интересное все же кроется в выводах.

Самое главное: авторы доклада убеждены, что нынешняя модификация «Пети» – это не что иное, как кибероружие.

И это кибероружие имеет несколько главных целей.

1) Скрывать последствия предыдущих атак по типу APT (Advanced Persistatnt Threat) – наиболее мощного, сложного и опасного вредоносного програмного обеспечения, которому я как-нибудь посвящу отдельный пост. Это может означать, что атакованные компьютеры были еще до нынешней кибератаки заражены каким-то вредоносным ПО, но что именно оно делало и какой вред наносило, теперь уже никто не узнает. Впрочем, тем организациям, которые не пострадали от атаки, не мешало бы самым тщательным образом проверить свои жесткие диски.



2)демонстрация кибермощи и тренировка выполнения массивных скоординированных кибервторжений

3) испытание нового кибероружия и возможностей систем безопасности противостоять ему, особенно скорость реакции и восстановления атакованных систем

4)Подготовка к следующей атаке или массированному скоординированному кибервторжению

5) Тренировка выполнения массового скоординированного кибервторжения в комбинации с элементами гибридной войны.

Итак, теперь мы знаем, что «Petya A» – это не просто криминальный инструмент. Это кибероружие. А значит, неизбежно будет и следующий киберудар – гораздо более серьезный, чем этот. И надо использовать все имеющееся время для того, чтобы приготовиться отбить его с минимальными потерями.

По материалам: issp.ua



Теги:
Добавить комментарий
:D :lol: :-) ;-) 8) :-| :-* :oops: :sad: :cry: :o :-? :-x :eek: :zzz :P :roll: :sigh:
 Введите верный ответ