(Not)Petya in voetsporen van Wannacry
27 juni werden diverse organisatie opgeschrikt door een tweede cyberaanval (Petya) die misbruikt maakt van de Eternalblue exploit die ook door Wannacry (Wanacry) werd misbruikt. Petya is een ransomware virus dat bestanden op de computers van slachtoffers versleutelt die vervolgens in ruil voor losgeld (in dit geval $300) de decryptiesleutel kunnen kopen. De malware deed zich voor het eerst voor in de Oekraine. Vermoedelijk verspreide het zich via een geinfecteerd softwarepakket dat door diverse bedrijven wordt gebruikt. Gebruikers van deze bedrijven startten het virus dus op, op het moment dat ze een regulier softwarepakket opende. Door ketenafhankelijkheden verspreidde het zich vanuit de Oekraine de hele wereld over. Onder andere containerbedrijf Maersk en pakketbezorger TNT werden getroffen: beiden bedrijven met veel ketenpartners en vestigingen over de hele wereld.
Hoewel alle antiviruspakketten naar aanleiding van de Wannacry aanval hun signatures hadden aangepast om misbruik van de kwetsbaarheid achter Eternalblue te kunnen voorkomen hadden de makers van Petya de Eternalblue exploit dusdanig gemuteerd dat de meeste antiviruspakketten Petya niet detecteerden. Slechts een handje vol pakketten wisten Petya vroegtijdig te vangen, waaronder Kaspersky, McAfee, Palo Alto, Sophos en Panda. Bij Panda was de malware variant al een dag voor de grote uitbraak aan de signatures toegevoegd (Trj/CryptoPetya.B).
Daarnaast verspreidt Petya (of beter: een als Petya gemaskeerde Ransomware variant, ook wel NotPetya genoemd) zich ook via de netwerkrechten van de gebruiker die de ransomware opent. Op het moment dat een gebruiker met beheerrechten (bijvoorbeeld een domain administrator) het bestand opent, zal het zich via de rechten van die beheerder (met psexec/wmic) op de systemen installeren waar deze beheerder toegang toe heeft (en vanuit daar weer op andere systemen, enz). Als een ingelogde gebruiker alleen lokale beheerrechten heeft kan het virus in het geheugen van de lokale werkplek kijken of er toevallig inlogsessies aanwezig zijn die meer rechten hebben dan de lokale gebruiker. Dit kan bijvoorbeeld het geval zijn als er net door een beheerder of automatisch proces onderhoudswerkzaamheden op het systeem zijn uitgevoerd. (Not)Petya neemt deze rechten dan over en verspreidt zichzich daarmee.
(Not)Petya kenmerkt zich door:
- Het versleutelen van persoonlijke bestanden/disks
- Het inplannen van een herstart van het systeem
- Veelvuldige ARP requests om andere computers op het netwerk te lokaliseren
- Het verwijderen van logbestanden
- Het misbruiken van MS17-010 voor verspreiding
- Het misbruiken van gebruikersrechten voor verspreiding
- Het gebruik van psexec/wmic voor verspreiding
Organisaties die zich tegen Petya en vergelijkbare malware willen beschermen doen er goed aan om:
- Te zorgen dat hun systemen van de laatste updates zijn voorzien
- Te zorgen dat anti-virus software is bijgewerkt
- Te zorgen dat het domein minimaal op 2012R2 functional level acteert
- Elk account dat over enige vorm van beheerrechten beschikt een "protected user" te maken (2012R2 FL noodzakelijk)
- Te zorgen dat KB2871997 op alle oudere, nog ondersteunde, Windows versies is geinstalleerd. Schakel vervolgens op oudere Windows versies (windows 7, Windows 2008) credential caching expliciet uit (UseLogonCredential 0)
- In te loggen met "normale" gebruikersrechten (geen local admin), en verhoogde "admin" rechten waarmee op andere systemen kan worden ingelogd alleen te gebruiken op het moment dat ze echt nodig zijn
- Medewerkers te instrueren extra terughoudend te zijn met het openen van onbekende of onverwachte bestanden die via e-mail worden aangeboden (e-mail lijkt in dit geval geen distributiemechanisme, maar dit kan bij andere varianten veranderen)
- Privemail die via HTTPS wordt geopend en mogelijk minder goed wordt gecontroleerd (tijdelijk) te blokkeren
- Systemen die niet gepatcht kunnen worden binnen het netwerk zoveel mogelijk te isoleren
- TCP Poorten die gerelateerd zijn aan SMB en RPC (zoals 445/139/135) zoveel als mogelijk te blokkeren, zeker daar waar het om koppelingen met externe netwerken gaat
Specifiek voor het tegengaan van de encryptiefunctie van Petya kun je ook overwegen om een aantal read-only bestanden in de Windows folder te plaatsen (perfc.dat en perfc.dll).
Lees meer analyseinformatie op:
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-fo...
https://www.virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694...
https://www.hybrid-analysis.com/sample/027cc450ef5f8c5f653329641ec1fed91...
https://otx.alienvault.com/pulse/59525e7a95270e240c055ead/
https://twitter.com/threatintel/status/879716609203613698