• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Историческая вирусология: Петя ( NotPetya) как же это было на самом деле - история, хронология, анализ

Screenshot_12.png


Предисловие

Тик-тик-тик - это звук обычных механических часов. А значит, время идет. Что мы планировали? Эпоху великих изменений, планировали вывести монтаж и подачу материала на новый уровень. Но это все в прошлом, привет-привет, дорогие друзья, с вами, как всегда, Мамикс… Стоп. Не тот текст, извините. На связи странный парнишка под ником DeathDay, пусть я и ошибся с текстом, но одна истина в этом все таки была - время неостановимо и постоянно движется вперед. Никаких регрессий. А то, что было - это исключительно прошлое, а о прошлом как раз и наш цикл - Историческая вирусология, остальные выпуски здесь:

1. Немного ностальгии: историческая вирусология или LoveLetter в цвете современности - 22 года спустя
2. Историческая вирусология: или 40 миллиардов долларов за 18 лет - MyDoom: хронология, история, анализ
3. Историческая вирусология: Чернобыль — как это было на самом деле или как заставить ваш ПК полететь из окна: история, хронология, анализ - CIH
4. Историческая вирусология: разговор о первом черве - или как одна ошибка изменила ход истории - Morris Worm
5. Историческая вирусология: раняя хронология программ-вымогателей - AIDS, GPcode, Arhivarius. Или как шутка психически больного стала каноном
6. Историческая вирусология: поздняя хронология программ-вымогателей - ZeuS, CryptoLocker, CTB: вирусный трафик ценой в миллиарды. Часть 1
7. Историческая вирусология: локер Илона Маска или как открылась Тесла - поздняя хронология программ вымогателей. Часть 2
8. Историческая вирусология: американский школьник и 250 миллионов - Blaster Worm: история, хронология, анализ
9. Историческая вирусология: Политически предубежденный вирус или как очередное исследование зашло не в ту степь - Confiker: история, хронология, анализ
10. Историческая вирусология: безумное китайское творение, натворившее дел - червь Nimda: история, хронология, анализ
11. Историческая вирусология: сказание о мировом кровотечении - уязвимость HeartBleed: или как я случайно нашел несколько дыр в Codeby
12. Историческая вирусология: хронология вирусов мобильных устройств - CommonWarrior: история, хронология, анализ или почему я передумал покупать Iphone
13. Историческая вирусология: The Melissa, YouAreAnIdiot - история, хронология, анализ

И прежде чем начать, по традиции делаем следующее…

Какой-то мужчина латинской внешности, быстро переодевается из обычной одежды в свою рабочую форму, состоящую из трусов в раскраске американского флага. На голову он натягивает странный платок, имеющий достаточно неплохой вид. И вот мужчина следует на съемочную площадку: камеры, освещение и фон. Съемка пошла. Он актер?

И лишь черная пустота в кадре фигурирует, но вдруг, запрыгивает этот самый мужчина в трусах и начинает неистово танцевать, впоследствии он станет мемом, но сейчас ваш взор занят лишь этим…

Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

Историческая вирусология: Петя ( NotPetya) как же это было на самом деле - история, хронология, анализ

По правде очень мне не хотелось писать этот выпуск о тех вирусах, которые я подготовил, так как тема программ-вымогателей и их семейства была уже достаточно неплохо раскрыта и я посвятил им около трех выпусков. Долой все это, попытаюсь написать так, чтобы это вышло чем-то особенным, поговорим сегодня о скандально известном вымогателе - Пете ( Не Пете). Главным нашим героем станет уже пожилой, на сегодняшнее время, мем - Рикардо Милос, который до сих пор судится за то, что его видео было использовано везде. Но вернемся в прошлое, пик мемной популярности Милоса - 2017 год, как раз тот таймлайн, который идеально нам подходит.

Март 2016 года, Милос путешествует по Штатам Америки, ничего особо не делает, иногда танцует в местных клубах, сидит на стероидах, дабы поддерживать привлекательную физическую форму, типичная жизнь латиноамериканского стиптезера. Согласны? В конце месяца он решил обзавестись ноутбуком и следить за ИТ пространством, ну мало ли. Так как он совсем уж необразован во всем этом, понятия информационной безопасности ему совсем уж чуждо: качает он программы из самых разнообразных источников, особенно ему по душе браузер Амиго, но вот незадача, его возможно скачать лишь из рекламы, поэтому он решает воспользоваться каким-то автоматическим установщиком каких-то драйверов. “Чо это ещё за дрова, зачем мне дрова в ноутбуке, мне нужен АМИИИГО, ВЕДЬ Я НАСТОЯЩИЙ ОМИГО”, - таким образом мышления владеет наш недалекий герой.

Момент истины, открывает Рикардо автоустановщик и… Его ноутбук виснет, после возникает синий экран смерти с архивацией данных, перезагрузка и … Следующая картина:



Что же произошло с нашей легендой? Произошел Петя. Неужели он потерял все свои видео с танцульками, которые успел перенести на ноутбук. Как же так.. Давайте разбираться. Но сперва, нам нужно обратиться к хронологии.

Не будет преувеличением сказать, что Петька - это следующая ступень эволюции вымогателей, так как он не был похож на своих сверстников того времени, которых, кстати, мы разобрали в прошлых выпусках. Все они поголовно просто зашифровали файлы: кто-то использовал эллиптические кривые, кто-то просто прятал документы в системных папках. Но все склонно меняться, не всегда правда в хорошую сторону.

Конец марта 2016 года - где-то в этом временном промежутке появляется первая версия Пети, она не смогла сыскать особого успеха, если сравнивать даже с тем же КриптоВалл и действовала исключительно в США, требуя 398$, на то время это примерно 1 биткоин, за “разблокировку”, хотя именно первые версии по разрушительному импакту были намного внушительней, ведь они просто безвозвратно уничтожали все данные на жестком диске. Заражено было около 50.000 машин, тогда он ещё распространялся не через уязвимости, а вот таким способом, как и подхватил вирус наш герой Рикардо. Сразу же после своего появления, Петя был отмечен, как следующая ветвь эволюции вымогателей, что действительно так и есть. Отменим эту версию как Petya.A.

28 мая 2016 года - выходит новая версия, но с незначительными изменениями. В случае, если зловред не может получить доступ к правам администратора для перезаписи MBR, он подгружает своего коллегу по цеху - Мишу, которую проще будет назвать Cryptowall.A, так как просто сменено название, а алгоритмы ничем не отличаются - простое прямое шифрование с использованием RSA.

14 марта 2017 года - опубликована уязвимость EternalBlue, думаю, что все мы её прекрасно знаем и объяснять не стоит, но именно публикация этой уязвимости повлекла за собой сотни миллионов атак, её использовали все. Включая Петю. Так же чуть раньше был опубликован бэкдор ДаблСтар, который в основе использовал именно эту уязвимость в СМБ.

27 июля 2017 года - выходит версия Petya.B, хотя они не имеют вот такой точной классификации, будем именовать эту версию именно так. По состоянию на это время, Этернал Блю уже использовалась вовсю, особенно ещё одним вымогателем - ВаннаКрай, который просек эту фишку гораздо раньше. Эта версия уже не уничтожала данные под чистую и действительно всего-то за 300$ предлагала возможность расшифровки. Теперь вымогатель действовал в основном в Европе: Германия, Украина, Россия, Беларусь, Казахстан, Италия.

29 июля 2017 года - Киберполиция Украины сообщила, что 3508 человек и компаний сообщили в полицию о том, что их компьютерное оборудование было заблокировано Петей. Из них отчеты представили 178, в том числе 152 частные организации и 26 государственных учреждений. Другие обратились в полицию за консультацией. И именно в Украине начинается вакханалия, ведь начинают страдать банки, всякие государственные учреждения, так как именно в это время началось форсированное продвижения и интеграция во все сферы деятельности компьютерных технологий.

Если не ошибаюсь, я тогда менял фамилию и как раз в это время пришел в паспортный, дабы все оформить, но меня выставили оттуда, ибо у них все было в красных мерцающих черепках. Это было смешно, хотя тогда лично мне было плевать, я просто играл в игры и наслаждался летом. Лично меня это никак не задело, хотя были у меня знакомые, которые подхватили эту штуковину.

30 июля 2017 года - Чернобыльская АЭС переходит в ручной режим мониторинга, так как все компьютерные машины были выведены из строя. Аналогично произошло и с двумя другими атомными станциями.

1 июня 2017 года - немецкая фондовая биржа прекращает свою работу, аналогично происходит с ещё тремя по СНГ. И именно в этот день независимо от основной версии выходит - NotPetya или ExPetya, который продолжил тенденции своего брата, под которого и маскировался, но также подчистую уничтожает все данные на диске, как и первые версии Петра.А.

2 июня 2017 года - работа Газпрома парализована. Перестали работать компьютеры Роснефти, Башнефти, что привело к остановке добычи нефти. Харьковский Аэропорт прекращает свою деятельность. Сбербанк так же пал.

3 июня 2017 года - умерло большинство радиостанций Украины, информационная сеть парализована. На данный момент заражено около 200 тысяч устройств по всему миру. Ну не так и много, если посмотреть на те цифры, что показывали прошлые наши исследуемые, но даже такое количество вызвало коллапс в нескольких странах.

5 июня 2017 года - создатели вируса объявились и обнулили биткоин-кошелек на 300 тысяч долларов и объявили, что за 250 тысяч они предоставят универсальный код для снятия блокировки на всех устройствах. После они затихли и больше никак не общались. К слову, обнаружить и задержать их не удалось.

17 июня 2017 года - на этом этапе ситуацию плюс-минус стабилизируется, умельцы находят способ использовать данные жесткого диска для получения ключа расшифровки, хотя если речь шла о НеПети, то это было чуточку напрасно. Был создан даже специальный сайт для этого, но не все, естественно, могли этим воспользоваться таким, но в общем динамика начала обретать позитивный окрас для общества. Хотя уже на этом моменте было заражено сверх миллиона устройств по всему миру.

23 июня 2017 года - выходит теория, что изначальной точкой заражения стало популярное бухгалтерское программное обеспечение M.E.Doc, в обновлении которого был обнаружен Петя.

28 июня 2017 года - и дальше уже пошел абсурд, дыры-то на состояние этого времени уже подлатали и количество заражений в сутки упало до одного двух, но теперь страны наперебой начали обвинять друг-друга, из-за чего объективного расследования так и никто не провел и злоумышленники улизнули.

Рикардо в замешательстве, какой-то красный черепок не дает ему скачать Амиго - бешенство. Он начинает гуглить, дабы узнать причину, далее задается вопросом как можно снять блокировку, не используя свой кошель и шекели. Но он находит странные технические подробности и начинает их читать, давайте же и мы последуем по пути Милоса и тоже разберемся немного в этом.

Поговорим о способах распространения этого вредоноса, начиная с его самых первых версий, заканчивая тем путем, которым шла его последняя. Поехали.

Первые версии в 2016 году не использовали никаких уязвимостей, распространяясь исключительно через интернет и неблагонадежные сайты с программным обеспечением.

После публикации Этернал Блю все изменилось.

Petya использует 135, 139, 445 TCP-порты для распространения, с использованием служб SMB и WMI.

Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и , а также с помощью эксплойта, использующего уязвимость ( ). PsExec же широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС.

Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

В отличие от своих сородичей, Петя попадает на машину, которую впоследствии заблокирует, под видом обычного .dll файла, он никак не кодируется, потому код просмотреть можно без особого труда, давайте-ка этим и займемся.

Здесь не нужно быть супер-гением, дабы заметить уже в импортах, что это вредоносное ПО. При выполнении первое, что он делает, это включает три привилегии токена: SeShutdownPrivilege , SeDebugPrivilege и SeTcbPrivilege . Даже просто посмотрев на их название можно понять, что это основные токены администрирования, первый допустим отвечает за включение-выключение машины, второй за запуск дебагмода, а третий позволяет запуск программы от лица самой системы.

5lObfLOm-eRDvxl_pOa4gVQf_UN_tmWqzAdtIUnD_YRMuxwQdbJ5VwwKDcW2zlPT17kXsvv7fwSiICkvWPEp9SEEmkpbEpxXkJUPCLDA-Hgezigv9EX69Pft58qnNvdn4_wmt-hG6UyzB-TLDCtJO28lVohLKxu5EXGQBbjiOCtxKjpsfB2O3j4i


Затем идет обычная проверка на наличие запущенных процессов, которая присуща, наверное, большинству представителям семейства вымогателей.

YNN5hxmCoG_-xlMxaU9HumrgXjdO36GktJp46BqSacZzKhAGk1PBtbM8yUcQtx7Cgt-c-i4CRl6FNSBktVm7AcQhqMhyLSxOX0XIWE3gqXKq0tnSx60pGXC0RvBMJOtdgo-AaFkpPgHonrVcg7Eu7CZtE9Njllswgh-sFUaCpERiNL3NZbv5h4Xs


И в зависимости от наличия процессов

0x2e214b44 = avp.exe 0x6403527e = ccSvcHst.exe 0x651b3005 = NS.exe, он устанавливает себе имя, выглядит это примерно так:

3uG3gxFZnffxXaeYghcgStAQk183m9oWgOtJHByNST6NbzHHVX0wLUrNFDMWd8gj-4dZJt24UKUytfyW-5KFUK_YJEM_lt8rjblYCubFaBX9Yv-uuBvdVKkfEbtLLl6e1YUj-l9zuTKixgzzUc94Tx436_7Uykdvl6CInO1OdlX3bSk61OXLfI1i



Это важно, так как он будет использовать это позже как своего рода аварийный выключатель, переходя к первой функции - M sub_CreateWindows File , видим, что она проверяет, существует ли файл (через PathFileExists ). Если это так, то он переходит в код, который вызывает ExitProcess, тем самым завершая работу вредоносного ПО.

После этого Петя проверяет свою командную строку и ожидает какие-то аргументы, но зачастую эта часть просто скипается, потому можно продолжить наш анализ и без этих аргументов.

Затем он проверяет, равен ли его флаг для скорректированных привилегий токена 2 . Это означает, что SeDebugPrivilege включен. Если это так, он пропускает два вызова функций , а затем приступает к завершению работы системы.

И использует непосредственно режим дебага для перезаписи MBR жесткого диска, результатом выходит вот эта штука:



А происходит это следующим образом: вредонос вписывает в начало диска код, который будет запущен после перезагрузки устройства, а в определенные сектора записывает свою конфигурацию, данные для проверки и оригинальный образ MBR.

В таком случае сектор 0x20 диска выступает местом для конфигурации, которая может варьироваться в зависимости от типа жесткого диска, материнской платы и так далее. Он выглядит следующим образом:

  • MFT не была зашифрована до начала работы Пети, устанавливается значение 0, в противном случае значение 1 и вирус прекращает свою деятельность.
— EncryptionKey (случайная последовательность длиной 32 байта)
— Nonce (случайная последовательность длиной 8 байт)
— Personal installation key (случайная последовательность длиной 60 символов из алфавита «123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz»)

Рандомные данные получаются через функцию CryptGenRandom, которая считается криптографически стойкой для последуюих манипуляций.

В сектор 0x21 записывается 512 байт со значением 0x07. В сектор 0x22 записывается оригинальный MBR, в котором каждый байт поXOR со значением 0x07. После первой перезагрузки происходит зашифрование MFT, но перед этим повторно читается сектор 0x20 и устанавливается признак зашифрования MFT (значение 1), - это EncryptionKey, который копируется во временный буфер.

Далее Поле с EncryptionKey затирается нулевыми байтами, а сектор 0x20 записывается на диск. Затем сектора MFT зашифровываются на том же EncryptionKey + Nonce. И здесь можно проследить схожесть с алгоритмом шифрования Salsa 2.0, который считается очень стойким.

А теперь поговорим об основных отличиях от EхPetyа, который НеПетя, но все-таки Петя:
  1. Большинство сервисных строк можно считать идентичными.
  2. Не Петя использует другие сектора диска для записи конфигурации - сектора 0x36-0x39 (против 0x20-0x23 у Petya.А)
  3. У НеПети отсутствует функция с черепком, которую можно считать визитной карточкой этого вируса.
  4. Длина Personal installation key составляет 90 символов, против 60 у NotPetya.
  5. Злой брат-близнец подчистую уничтожает данные на диске, не давая возможности их восстановить.
  6. Ключ, вводимый пользователем для запуска расшифрования, должен быть строкой из алфавита «123456789abcdefghijkmnopqrstuvwxABCDEFGHJKLMNPQRSTUVWX» длиной 16 символов, когда оригинал поддерживает до 32 символов.
SiT5KJ2jBRqjbz_LD5nKqnHyjkViXxOtdmRGMrVs8c5i7lAQbrDfAi7V1VyL3_wSmf0mizokt33l0ZlG3TyHSip1vw3WukE8K4yGlv32YOKUNPSxB4gxKaqb96Hyy7dc9dWycs0csq9pE3YSKMckO5-K9I_ff7BdG7TDiHMOy82R5F9135tncCM0
pIQUcK3f_VNsjtjVnftTwb7W-3fD1nFX-OAoheEVEXht1r7dsVM8jn-GR17ID_PYxOI4bVzm3al-WbtXg_Zdp4CSisbLw6aoMAotOADLg4ni2emyqbMaGjpxInXF59ATcyLyMhJDyoUKLjiZ2Zsqr6_jqRTdjc6Q4QqVnVAACwDwwo0uiEsHPEbi



Даже вот при таком просмотре можно заметить, что они практически идентичны, здесь заменены некоторые константы и строки, но принцип работы остается тем же.
Здесь ещё стоит заметить, что оба представителя используют одни и те же способы шифрования и спустя несколько недель нашли несколько десятков способов, как подобрать код доступа для расшифровки, хотя брат-близнец уничтожал все, как только код был введен. Давайте ещё рассмотрим несколько способов, как можно было получить тот самый шифр или обойти эти вредоносы.
Дело в том, что в отличие от NotPetya, оригинал создавал задачу на плановый перезапуск устройства, а его брат же сразу же перезапускал машину. Если запустить в этот промежуток времени дефолтное восстановление MBR, то устройство будет запущено без вот этих черепков, но файлы-таки будут зашифрованы. Давайте проверим это на практике, сразу же после запуска ничего не происходит, но если в это время держать диспетчер задач открытым, то можно заметить, что проскакивает процесс от “System” под названием ccSvcHst.exe, а если открыть планировщик задач, то можно заметить запланированный перезапуск.

Давайте-ка запустим восстановление MBR и поглядим, что изменится и спасет ли это систему:
bootrec /fixMbr

Немного подождем и вот он перезапуск, действительно, система была запущена без черепков, но файлы теперь имеют расширение .petr, что явно плохо. Хотя на данный момент существует тысячи расшифровщиков, которые могут снять блокировку онлайн, но на то время такого не было. Обнаружить же Петю до момента перезапуска достаточно легко, перейдя по пути C:\Windows, если видим папку с названием “perfс” - вы инфицированы.

Итоги

Стало быть, затягивать не буду, итоги подведем максимально скромно.

Парализованная инфраструктура нескольких стран, атакованы банки, государственные учреждения, больницы, аэропорты та даже банкоматы были заражены вымогателем. Общий ущерб оценивают в 400 миллионов долларов. Мне удалось также найти основной кошелек в биткоине, который использовался для получения выкупа:

r-fcXjA48XgTrrFhXNE85AEytofTblKvpC8lq840CeLeQDgM7a6EDV_0KHSovxh_-Xn6ayQH4nxZ_pXdlmPhSsCBFSIFJeMCIBbxHnTh4i5Cko__93t3g2_NEW27kOu5u00Y_IFHpZlqaP8qGNtJl0Y0LF7lY6647G5ufr9RWkAZA4elOHfuHJKv


На данный момент это примерно один миллион долларов. Примечательно, что последние поступления датированы 2022 годом, то есть Петя до сих пор активен и приносит какой-никакой профит.
На этом у меня все, а с вами как всегда был какой-то парнишка под ником DeathDay и Петя. Мира всем, не прощаюсь.

2016. Petya.A​
 
Последнее редактирование модератором:

SearcherSlava

Red Team
10.06.2017
943
1 260
BIT
146
Братья, сестры, здравы будьте!

Шапочку из фольги надеть не забудьте.

Нагуглил файлик по данной тематике, на стр. 11 указано название российской антивирусной компании с опечаткой, на стр. 16-17 приведен перечень ОС с уязвимостями, которые, возможно, до сих пор являются таковыми. Второй файлик - меморандум о взаимопонимании между организациями. Вобщем, может быть кому-то будет интересно почитать.

Неспособность АНБ хранить секреты
Ключ к разгадке на вопросы и ответы

Уникальный вирус Петя
Он сильнее всех на свете
Где-то создан Этернал
Он весь мир уже достал

Теневые брокеры
Хакеры и рокеры
Знают толк и в покере
Всё везде им похеру
Они ведут свою игру
Знать им такое по нутру
Они проснулись по утру
Хеллоу, Ворд и быть добру!
 

Вложения

  • PDF.pdf
    211,6 КБ · Просмотры: 126
  • PDF-1.pdf
    556,6 КБ · Просмотры: 121
  • Нравится
Реакции: Faust_1st и DeathDay

Mark Klintov

Grey Team
23.07.2022
151
290
BIT
18
А вот сами файлы Пети подъехали. Кому интересно, можно заглянуть в гости к vx-underground и скачать с их странички Github все необходимое. Ссылку оставлю здесь: КЛИК

Предупреждать об опасности этих файлов думаю не стоит. Все знают, с чем имеют дело
 

Faust_1st

Green Team
16.06.2020
23
16
BIT
0
Обожаю читать твои статьи, подача в них просто шикарная!
 
  • Нравится
Реакции: DeathDay
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!