Petya: Следы ведут к M.E.Doc

Soft, интернет, безопасность: новости, статьи, советы, работа

Избранное сообщение

Фетісов В. С. Комп’ютерні технології в тестуванні. Навчально-методичний посібник. 2-ге видання, перероблене та доповнене / Мои публикации

В 10-х годах я принимал участие в программе Европейского Союза Tempus “Освітні вимірювання, адаптовані до стандартів ЄС”. В рамк.

среда, 5 июля 2017 г.

Petya: Следы ведут к M.E.Doc / Все о вымогателе-шифровщике Petya. A

«Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру

Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы. Напоминаем, что, по сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал именно модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc.

В сообщениях утверждается, что первоначальное распространение червя Trojan.Encoder.12544 осуществлялось посредством популярного приложения M.E.Doc, разработанного украинской компанией Intellect Service. В одном из модулей системы обновления M.E.Doc с именем ZvitPublishedObjects.Server.MeCom вирусные аналитики «Доктор Веб» обнаружили запись, соответствующую характерному ключу системного реестра Windows: HKCUSOFTWAREWC.

id: 425036, timestamp: 15:41:42.606, type: PsCreate (16), flags: 1 (wait: 1), cid: 1184/5796:DeviceHarddiskVolume3ProgramDataMedocMedocezvit.exe

source context: start addr: 0x7fef06cbeb4, image: 0x7fef05e0000:DeviceHarddiskVolume3WindowsMicrosoft.NETFramework64v2.0.50727mscorwks.dll

created process: DeviceHarddiskVolume3ProgramDataMedocMedocezvit.exe:1184 –> DeviceHarddiskVolume3WindowsSystem32cmd.exe:6328

bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0

curdir: C:UsersuserDesktop, cmd: “cmd.exe” /c %temp%wc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18o EJeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6 UGTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad9 2ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvD X0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra

status: signed_microsoft, script_vm, spc / signed_microsoft / clean

id: 425036 ==> allowed [2], time: 0.285438 ms

2017-Jun-27 15:41:42.626500 [7608] [INF] [4480] [arkdll]

id: 425037, timestamp: 15:41:42.626, type: PsCreate (16), flags: 1 (wait: 1), cid: 692/2996:DeviceHarddiskVolume3WindowsSystem32csrss.exe

source context: start addr: 0x7fefcfc4c7c, image: 0x7fefcfc0000:DeviceHarddiskVolume3WindowsSystem32csrsrv.dll

created process: DeviceHarddiskVolume3WindowsSystem32csrss.exe:692 –> DeviceHarddiskVolume3WindowsSystem32conhost.exe:7144

bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 0, new: 0, dbg: 0, wsl: 0

curdir: C:windowssystem32, cmd: ??C:windowssystem32conhost.exe “1955116396976855329-15661177171169773728-1552245407-149017856018122784351593218185”

status: signed_microsoft, spc / signed_microsoft / clean

id: 425037 ==> allowed [2], time: 0.270931 ms

2017-Jun-27 15:41:43.854500 [7608] [INF] [4480] [arkdll]

id: 425045, timestamp: 15:41:43.782, type: PsCreate (16), flags: 1 (wait: 1), cid: 1340/1612:DeviceHarddiskVolume3WindowsSystem32cmd.exe

source context: start addr: 0x4a1f90b4, image: 0x4a1f0000:DeviceHarddiskVolume3WindowsSystem32cmd.exe

created process: DeviceHarddiskVolume3WindowsSystem32cmd.exe:1340 –> DeviceHarddiskVolume3UsersuserAppDataLocalTempwc.exe:3648

bitness: 64, ilevel: high, sesion id: 1, type: 0, reason: 1, new: 1, dbg: 0, wsl: 0

curdir: C:UsersuserDesktop, cmd: C:UsersuserAppDataLocalTempwc.exe -ed BgIAAACkAABSU0ExAAgAAAEAAQCr+LiQCtQgJttD2PcKVqWiavOlEAwD/cOOzvRhZi8mvPJFSgIcsEwH8Tm4UlpOeS18oE JeJ18jAcSujh5hH1YJwAcIBnGg7tVkw9P2CfiiEj68mS1XKpy0v0lgIkPDw7eah2xX2LMLk87P75rE6U GTrbd7TFQRKcNkC2ltgpnOmKIRMmQjdB0whF2g9o+Tfg/3Y2IICNYDnJl7U4IdVwTMpDFVE+q1l+Ad92 ldDiHvBoiz1an9FQJMRSVfaVOXJvImGddTMZUkMo535xFGEgkjSDKZGH44phsDClwbOuA/gVJVktXvDX 0ZmyXvpdH2fliUn23hQ44tKSOgFAnqNAra

fileinfo: size: 3880448, easize: 0, attr: 0x2020, buildtime: 01.01.2016 02:25:26.000, ctime: 27.06.2017 15:41:42.196, atime: 27.06.2017 15:41:42.196, mtime: 27.06.2017 15:41:42.196, descr: wc, ver: 1.0.0.0, company: , oname: wc.exe

hash: 7716a209006baa90227046e998b004468af2b1d6 status: unsigned, pe32, new_pe / unsigned / unknown

id: 425045 ==> undefined [1], time: 54.639770 ms

Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции:

• сбор данных для доступа к почтовым серверам;
• выполнение произвольных команд в инфицированной системе;
• загрузка на зараженный компьютер произвольных файлов;
• загрузка, сохранение и запуск любых исполняемых файлов;
• выгрузка произвольных файлов на удаленный сервер.

Весьма интересным выглядит следующий фрагмент кода модуля обновления M.E.Doc — он позволяет запускать полезную нагрузку при помощи утилиты rundll32.exe с параметром #1:

Именно таким образом на компьютерах жертв был запущен троянец-шифровальщик, известный как NePetya, Petya.A, ExPetya и WannaCry-2 (Trojan.Encoder.12544).

В одном из своих интервью, которое было опубликовано на сайте агентства Reuters, разработчики программы M.E.Doc высказали утверждение, что созданное ими приложение не содержит вредоносных функций. Исходя из этого, а также учитывая данные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой. Этот компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.

На Украине изъяли серверы у распространившей вирус Petya компании

Украинская киберполиция изъяла серверы украинской компании M.E.Doc, производящей системы отчетности и документооборота, в рамках расследования кибератаки вируса Petya, произошедшей на прошлой неделе. Как пишет 4 июля РБК, об этом сообщает Reuters со ссылкой на руководителя киберполиции Сергея Демедюка.​

M.E.Doc — один из наиболее популярных производителей ПО на Украине, уточняет агентство.

Ранее компания Microsoft представила доклад, в котором говорится, что во время хакерской атаки на Украине вирус Petya распространялся с помощью бухгалтерского программного обеспечения MEDoc (производится компанией M.E.Doc). О причастности софта компании к распространению вируса заявила и украинская киберполиция.

Данные телеметрии показали, что процесс обновления MEDoc (EzVit.exe) «по непонятным причинам» в один момент привел в действие команду, которая совпадает с кодом начала кибератаки утром 27 июня. В «Лаборатории Касперского» «Ведомостям» рассказали, что M.E.Doc распространяла вирус только по Украине, но, поскольку в этой стране расположены офисы глобальных компаний, оказались заражены сети других стран.

А тем временем в M.E.Doc.

Разработчики ПО «M.e.doc» отрицают свою причастность к распространению NotPetya

Разработчики “M.E.Doc” открестились от связи своей программы с атакой вируса Petya A

Разработчики учетно-бухгалтерской программы “M.E.Doc” опровергли ранее озвученные обвинения Киберполиции о том, что заражение компьютеров вирусом-вымогателем Petya A произошло из-за обновлений бухгалтерской программы M.E.doc.

Чтобы развеять предположения о наличии вирусов в обновлениях M.E.Doc, разработчики привели следующие разъяснения:

“Для того чтобы заразить ПК вредоносным вирусом в первую очередь он должен быть загружен в систему и запущен на выполнение, после чего произойдет видоизменение файлов по специфике его работы.

Также, система может быть заражена через спам-письмо с вложением, которое пользователь мог получить от незнакомого отправителя и открыть из любопытства к его содержимому.

Актуальная версия пакета обновления была выпущена 22.06.2017 с проверенными на наличие каких-либо вирусов файлами. Ни одного факта обращения пользователей с заражением вирусом его ПК или сервера за это время зафиксировано не было. Пиком распространения вирусной атаки является дата 27.06.2017, что не приходится на активность скачивания и установки обновления M.E.Doc.

Исходя из этого утверждаем, что на момент скачивания обновления M.E.Doc от 22.06.2017, оно не содержало каких-либо вирусов”, – сообщили разработчики офисной программы.

При этом у ряда украинских пользователей есть сомнения в версии разработчиков данной программы.

“У меня на сервере стоит 1С, медок и браузер для почты gmail. Случилось все в пятницу в 12 часов. У админа ушло 11 часов на устранение этого вируса. Просидел он в офисе до 23:00 . 1 с подняли с бекапа. Медок – купили сегодня ключи за 1000+ грн. Попадание вируса через почту исключаю, поскольку та же почта открыта у всех менеджеров на офисных пк с виндовсом (Операционная система Windows – прим.) . Не подумал бы на медок, но в это время бухгалтер как раз в нем пыталась подать отчет” – написал в соцсетях Ростислав Карий.

Другой пользователь под ником “taira 05” подтверждает эту информацию.

“Аналогично – включила в пятницу комп, не заходила в интернет, не проверяла почту, в медке сдала отчет и через 15 минут все зашифровано. Пыталась сегодня написать об этом на форуме медка, мне в ответ написали, что я не я, и так как фото рабочего стола с вирусом предоставить не могу, то вообще все придумала”, – написала женщина.

“Беспрецедентный факт взлома”: в M.E.Doc признали причастность к распространению вируса Petya

В компании утверждают, что создали обновление, которое гарантированно исключает угрозы для пользователей, однако не могут выпустить его из-за обысков и изъятия серверов.

Компания-разработчик M.E.Doc признала, что вредоносный код, который повлек за собой проблемы в работе многих компьютеров в Украине и мире, распространился вместе с одним из очередных обновлений бухгалтерской программы. Об этом говорится в сообщении на официальной Facebook-странице.

“Впервые за историю существования ПО “M.E.Doc” произошел беспрецедентный факт взлома, в результате которого продукт через пакет обновления был внесен вредоносный программный код”, – сообщили в компании.

По словам ведущих международных экспертов и правоохранителей, вмешательство было осуществлено высокопрофессиональными специалистами.

“Комплексный анализ обстоятельств заражения позволяет предположить, что лица, которые организовали нападения с использованием WannaCry, могут быть причастны и к этой вирусной атаке, поскольку способы распространения и общее действие подобны вирусу-шифровальщику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya)”, – сказано в сообщении.

В компании утверждают, что создали обновление, которое гарантированно исключает угрозы для пользователей, однако в ходе проведения следственных действий серверы компании временно изъяли.

“Таким образом, сейчас мы лишены возможности выпустить обновление с повышенной степенью безопасности”, – заявили в M.E.Doc.

Как сообщал УНИАН, американская корпорация Microsoft (США) обнаружила доказательства распространения вируса Petya.A через программу для отчетности и документооборота “M.E.Doc”. В компании-разработчике это отрицали.

27 июня украинские банки, энергетические компании, государственные интернет-ресурсы и локальные сети, украинские медиа и другие крупные предприятия подверглись массированной хакерской атаки, которая распространяет вирус Petya.A, который блокирует работу компьютерных систем. Вирус распространяется также в России, Англии, Индии и других странах Европы и Азии.

Вирус Petya.А шифрует данные на компьютере и требует выкуп. Специалисты по компьютерной безопасности советуют ничего не платить – никаких ключей после выплаты денег владельцы зараженных компьютеров не получают.

Глава Глобальной программы Организации Объединенных Наций по киберпреступности Нил Уолш заявил, что следователи до сих пор не могут установить инициаторов последней глобальной кибератаки, но стратегия нападающих указывает, что не деньги были основным мотивом их действий.

Читайте последние новости Украины и мира на канале УНИАН в Telegram

Известно как был взломан сервер M.E.Doc и подробности распостранения вируса Petya

NGINX и PHP Malware, используемые в атаке Petya / Nyetya Ransomware

Группа безопасности Talos Cisco опубликовала вчера пост в блоге, в котором описываются вирусы Petya, NotPetya и Nyetya.

Сообщение команды Talos дает очень четкое представление о том, как начались первичные инфекции, связанные с вымогательством. В учетной записи они описывают, как злоумышленники под root правами переконфигурировали веб-сервер NGINX, чтобы отменить запросы прокси-сервера на скомпрометированный сервер у хостинг-провайдера. Команда Talos также обнаружила известный вредоносный вариант на взломанном веб-сервере.

Как и почему злоумышленник использовал NGINX обратное проксирование для управления зараженными машинами

M.E.Doc — компания в Украине, которая занимается бухгалтерским программным обеспечением. У них много клиентов, и они распространяют свое программное обеспечение непосредственно своим клиентам. Примерно в апреле этого года их сеть была скомпрометирована, потому что злоумышленнику удалось получить украденные учетные данные, принадлежащие администратору. Используя эти учетные данные, злоумышленник смог войти в систему и начать изменять конфигурацию и программное обеспечение сервера.

Злоумышленник изменил конфигурационный файл nginx.conf на сервере обновлений M.E.Doc, чтобы отменить запросы прокси на сервер, размещенный в OVH. Сервер использовался реселлером хостинга под названием THCServers.com. Этот сервер был взломан злоумышленником перед запуском атаки на M.E.Doc.

27 июня был зафиксирован штучный латвийский IP-адрес 159.148.186.214, что подключался к системе и вносил конфигурацию NGINX (nginx.conf).
M.E.Doc подтверждает, что ни сервер-реселлер OVH thcservers.com (с IP 176.31.182.167), ни латвийский IP-адрес не имеют связей с M.E.Doc.

Затем злоумышленник модифицировал программное обеспечение учета M.E.Doc, чтобы включить их собственный вредоносный код. Не зная об инфекции, M.E.Doc затем распространил скомпрометированное программное обеспечение на своих клиентов, как обычно. После установки на рабочую станцию, ​​модифицированное программное обеспечение каждые два минуты связывалось с зараженным сервером M.E.Doc NGINX, чтобы получить команды, которые злоумышленник хотел запустить.

Анализ ZvitPublishedObjects.dll показал, что бэкдор был добавлен в функцию ZvitPublishedObjects.Server.UpdaterUtils.IsNewUpdate
между строками 278 и 279 был добавлен код для получения ЕДРПОУ каждой организации и имени.
В строке 288. Затем он извлекает хост SMTP, имя пользователя, пароль и адрес электронной почты для каждой организации в базе данных приложения.

Этот запрос на сервер M.E.Doc NGINX для команд был обращен проксимизированному на скомпрометированный сервер и сервер управления OVH, контролируемый злоумышленником. Когда злоумышленник хотел отправить команды на зараженные рабочие станции, они просто установили новую команду на скомпрометированном OVH-сервере, после чего рабочие станции были просто доставлены через скомпрометированный сервер NGINX.

Подтверждаются исследования ESET в бэкдоре, который был вставлен в программное обеспечение M.E.Doc. Код .net в ZvitPublishedObjects.dll был изменен несколько раз, чтобы злоумышленник мог собирать данные и загружать / выполнять произвольный код:

График действий Netya

Подытожив, более простыми словами:

• Злоумышленник модифицировал программное обеспечение учета M.E.Doc для извлечения команд из взломанного сервера обновлений M.E.Doc.
• Это программное обеспечение было распространено среди клиентов.
• Взломанный сервер M.E.Doc NGINX проксировал эти запросы через команды на взломанный OVH-сервер.
• Злоумышленник отправил команды обратно на взломанный сервер NGINX, которые были направлены на взломанные рабочие станции, где запущен пакет учета M.E.Doc.

На следующей диаграмме показана конфигурация, созданная злоумышленником.

Схема распостранения вируса через M.E.Doc

Это разумно, потому что почти неуловимо

Многие сетевые администраторы имеют системы обнаружения вторжений в своих сетях. Одним из методов вторжения, которые ищут системы IDS, является сообщение от вредоносного ПО на сервер управления и управления (C&C). В системах IDS имеется база данных показателей компромисса или IOCs. Эти IOC включают IP-адреса известных серверов C&C.

Если злоумышленник в этом случае передал непосредственно из взломанного программного обеспечения M.E.Doc на свой сервер C&C, IDS сети обнаружит его, а затем заблокировал запрос, предупредив сетевого администратора. Вместо этого сетевые администраторы видели, как программное обеспечение M.E.Doc взаимодействует с сервером обновлений M.E.Doc, как и ожидалось, и предполагали, что все в порядке.

Как злоумышленник распространял Ransomware

После того, как злоумышленник контролировал достаточно большое количество машин, используя вышеупомянутую технику, он просто выполнили команду, которая заставила контролируемые машины извлекать ransomware и устанавливать ее. Это было так просто. Остальное — рассказ о заражении Retsomeware Petya / Nyetya / NotPetya, о котором вы недавно узнали в новостях.

Вредоносная программа PHP, используемая в этой атаке, имеет красочную историю

Команда Cisco Talos также обнаружила вредоносное ПО PHP на скомпрометированной машине NGINX со следующим путем: http: //www.me-doc [.] Com [.] Ua / TESTUpdate / medoc_online.php [Квадратные скобки включены для безопасности]

Команде Wordfence удалось получить образец вредоносного ПО от партнеров по обмену информацией, а также пароль для его расшифровки. Сюрприз, удивление: вредоносное ПО — наш старый друг «PAS». В прошлом году в декабре они написали подробный анализ вредоносной программы PHP, используемой в взломе выборов в США. Вредоносное ПО было выпущено Министерством национальной безопасности США в рамках набора показателей компромисса, связанного с взломом выборов. Затем они проанализировали вредоносное ПО и обнаружили, что оно широко известен, широко используется, свободно доступно и известно как PAS.

Они отслеживали сайт, который предоставляет вредоносное ПО. В то время он был доступен из: http: // profexer. [Name] /pas/download.php

Этот сайт теперь отключен, и не зря. Кто-то разместил ссылку на отчет DHS и сообщение Wordfence в блоге на форумах на rdot.org, где «зависает» автор, который profexer. Когда он обнаружил, что его веб-оболочка и веб-сайт были связаны с взломом выборов, он, по-видимому, нервничал и забрал свой сайт в автономном режиме. С тех пор он не работает.

Вредоносная программа, которую команда Cisco Talos обнаружила в атаке Ryomware Nyetya, представляет собой версию PAS. После доступа к вредоносному ПО с помощью веб-интерфейса и ввода пароля для его расшифровки это выглядит так:

У команды Talos нет данных, показывающих, как в атаке использовалась веб-оболочка PAS. Mark Maunder из Wordfence предполагает, что он просто использовался в качестве удобства для злоумышленника, чтобы предоставить им графический интерфейс в браузере, а не использовать SSH и командную строку.

Интересно, что доступ к этим вредоносным программам был бы «шумным». Он оставил след в журналах доступа к веб-серверу, и если бы он был доступен через HTTP, а не через HTTPS, у него могли возникнуть аварийные сигналы. SSH выглядел бы менее подозрительно, потому что единственными данными были бы исходный и целевой IP, а также подключение и отключение. Использование веб-оболочки создает запись журнала для каждого запуска команды. Это говорит о недостатке утонченности или, возможно, просто о том, что на стороне злоумышленников не хватает внимания.

Выноска для поставщиков веб-хостинга и админов серверов

Как уже упоминалось в начале этого сообщения, хакеры этой атаки смогли скомпрометировать сеть M.E.Doc, используя украденные учетные данные. Если вы являетесь хостинг-провайдером или администратором сервера, рассмотрите возможность использования двухфакторной аутентификации для любого доступа к серверу, включая SSH. Предполагая, что злоумышленник не имеет доступа к другим устройствам владельца учетных данных, двухфакторная аутентификация остановила бы эту атаку или, по крайней мере, значительно усложнила для злоумышленника доступ.

Лучшее управление конфигурацией могло помочь предупредить системного администратора об изменении файла nginx.conf. Возможно, это также вызвало вредоносное изменение в программном обеспечении M.E.Doc, когда хэши файлов были изменены.

Если у M.E.Doc была внутренняя IDS, настроенная для мониторинга шлюза по умолчанию, они могли поймать трафик с взломанного сервера NGINX на обратный прокси-сервер на зараженный OVH-сервер.

Сообщалось от Talos, что серверы M.E.Doc не обновлялись с 2013 года. Разумеется, нужно довести все ваши серверы до последних уровней исправлений (обновлений) и активно поддерживать все другое программное обеспечение.

Команда также уже зафиксировала в своем предыдущем посте блога, что «Учитывая обстоятельства этой атаки, Талос с высокой уверенностью оценивает, что намерение исполнителя, стоящего за Nyetya, носило разрушительный характер и не экономически мотивировалось». Наконец, теперь, когда можно подтвердить, что MEDOC был вектором установки, можно оценить, что целью этой атаки были Украина и те организации (более 2000 пострадавших по данным кибер-полиции), которые ведут бизнес в Украине / с Украиной.

Исходя из этого, Талос советует, чтобы любая организация, имеющая связи с Украиной, с особой осторожностью относилась к программному обеспечению, таким как M.E.Doc, и системам в Украине, поскольку они, как было показано, были нацелены на участников, использовавших данное ПО.

Для этих систем следует уделять приоритетное внимание исправлениям и обновлениям, и клиенты должны перейти на Windows 10, следуя указаниям Microsoft о защите. Дополнительные рекомендации по базовой настройке сетевой безопасности от Cisco.

SHA256
M.E.DOC ZVITPUBLISHEDOBJECTS.DLL FILES WITH BACKDOOR:
f9d6fe8bd8aca6528dec7eaa9f1aafbecde15fd61668182f2ba8a7fc2b9a6740
d462966166450416d6addd3bfdf48590f8440dd80fc571a389023b7c860ca3ac
2fd2863d711a1f18eeee5c7c82f2349c5d4e00465de9789da837fcdca4d00277
NYETYA MALWARE:
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f
eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998
ИСКУССТВЕННЫЕ АДРЕСА:
176.31.182[.]167
159.148.186[.]214
AMP ПОКРЫТИЕ
W32.Ransomware.Nyetya.Talos
W32.F9D6FE8BD8.Backdoor.Ransomware.Nyetya.Talos
W32.D462966166.Backdoor.Ransomware.Nyetya.Talos
W32.2FD2863D71.Backdoor.Ransomware.Nyetya.Talos
W32.02EF73BD24-95.SBX.TG
W32.GenericKD:Petya.20h1.1201

Национальная полиция Украины разместила видео ниже, показывая, как они внедряются к серверам M.E.Doc. Обратите внимание какая технология «креативного» охлаждения серверов используется примерно на первой минуте в видео :).

Оставайтесь в безопасности, сохраняйте свои учетные данные и обновляйте ПО рабочих станций и серверов.

Информация собиралась из разных источников: talosintelligence blog, wordfence blog

Эксперты обнаружили бэкдор в M.E.Doc, а киберполиция Украины изъяла серверы компании

Xakep #252. Чемоданчик хакера

На прошлой неделе заголовки СМИ всего мира пестрели упоминаниями новой версии шифровальщика Petya (он же NotPetya, SortaPetya, Petna, Nyetya, ExPetr и так далее). По мнению многих специалистов, Petya был даже не вымогателем, а вайпером, то есть умышленно повреждал информацию на диске, почти не оставляя шансов на ее восстановление. Впрочем, с этой теорией согласны не все. К примеру, исследователи F-secure по-прежнему допускают, что Petya мог быть именно шифровальщиком, но его создатели совершили ряд ошибок во время разработки.

На прошлой неделе мы уже рассказывали о том, что многие специалисты связали распространение Petya с программным обеспечением M.E.Doc. Такие предположения высказали сотрудники украинской киберполиции, а также аналитики Cisco Talos, Microsoft и «Лаборатории Касперского».

Всю прошедшую с начала атак неделю страница M.E.Doc в Facebook пополнялась различными опровержениями. Разработчики до последнего утверждали, что M.E.Doc не имеет никакого отношения к распространению Petya, и сообщали, что к расследованию случившегося были привлечены правоохранительные органы и специалисты Cisco. В итоге 29 июня 2017 года компания временно отключила возможность автоматической загрузки обновлений. Согласно официальному заявлению, это было сделано исключительно ради того, чтобы избежать «появления новых спекуляций», а не из-за того что разработчики решили признать факт компрометации.

Теперь специалисты компании ESET представили собственный аналитический отчет, в котором согласились с выводами коллег и рассказали, что им удалось обнаружить бэкдор, использовавшийся для распространения Petya и XData. Отчет с похожими выводами также был опубликован аналитиками «Лаборатории Касперского».

«”Нулевым пациентом” стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчетности и документооборота. Атакующие получили доступ к серверу обновлений M.E.Doc и с его помощью направляли троянизированные обновления с автоматической установкой», — пишут исследователи ESET.

Бэкдор был найден в одном из легитимных модулей M.E.Doc и «маловероятно, что атакующие выполнили эту операцию без доступа к исходному коду программы». Более того, изучив все обновления M.E.Doc, выпущенные в текущем году, специалисты выяснили, что модуль бэкдора содержали как минимум три апдейта:

• 01.175-10.01.176 от 14 апреля 2017 года;
• 01.180-10.01.181 от 15 мая 2017 года;
• 01.188-10.01.189 от 22 июня 2017 года.

Напомню, что эпидемия Petya стартовала 27 июня 2017 года, а шифровальщик XData был активен преимущественно мае 2017 года. Интересно, что 17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора. Исследователи полагают, что этим и объясняется сравнительно небольшое число заражений XData. Атакующие не ожидали выхода обновления 17 мая и запустили вымогателя 18 мая, когда большинство пользователей уже успели установить безопасное обновление.

Обфусцированная версия VBS-бэкдора

Обнаруженный бэкдор позволяет своим операторам загружать и выполнять в зараженной системе другое вредоносное ПО, как это произошло с Petya и XData. Кроме того, малварь собирает настройки прокси-серверов и email, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв.

«Нам предстоит ответить на ряд вопросов, – комментирует Антон Черепанов, старший вирусный аналитик ESET. – Как долго используется бэкдор? Какие команды и вредоносные программы, помимо Petya и XData, были направлены через этот канал? Какие еще инфраструктуры скомпрометировала, но пока не использовала кибергруппа, стоящая за этой атакой?».

По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, исследователи ESET предполагают, что за эпидемией Petya стояла хакерская группа Telebots.

В декабре 2016 года ESET публиковала исследование об атаках данной группы на украинские финансовые компании. Злоумышленники выводили компьютеры из строя при помощи вредоносной программы KillDisk для перезаписи и удаления файлов с определенными целевыми расширениями. Атаки носили деструктивный характер, финансовая выгода никогда не была главным приоритетом злоумышленников.

Для второй волны атак Telebots доработали KillDisk, добавив функцию шифрования и сообщение о выкупе, что придавало малвари сходство с обыкновенным вымогателем. Тем не менее, авторы запрашивали за восстановление данных рекордную сумму – 222 биткоина (около 250 тысяч долларов по нынешнему курсу). Очевидно, что целью преступников оставался саботаж.

По данным ESET, с января по март 2017 года TeleBots скомпрометировали украинскую компанию-разработчика программного обеспечения (не M.E.Doc), чтобы получить доступ к ИТ-сетям финансовых учреждений. Для этой атаки группа видоизменила используемые ранее бэкдоры и пополнила арсенал новыми вымогателями. Кроме того, атакующие использовали модифицированную утилиту Mimikatz для извлечения учетных записей Windows из памяти зараженного компьютера и PsExec для распространения угрозы внутри сети.

18 мая ESET зафиксировала активность вымогателя XData (он же Win32/Filecoder.AESNI.C). По данным телеметрии, он появлялся на компьютере после запуска программного обеспечения для отчетности и документооборота украинского разработчика M.E.Doc. Далее XData автоматически распространялся в сети с помощью Mimikatz и PsExec. Вскоре после атаки мастер-ключи шифровальщика были опубликованы в открытом доступе.

27 июня началась эпидемия Petya. Код вредоносной программы частично позаимствован у шифровальщика Petya 2016 года, но изменен таким образом, что восстановить данные было невозможно. В данном случае список целевых расширений хотя и не полностью идентичен, но очень похож на используемый в атаках KillDisk в декабре 2016 года. Для распространения внутри корпоративных сетей Petya так же использует знакомые методы: эксплойт EternalBlue, Mimikatz в сочетании с PsExec (как в XData), а также механизм WMI.

Равно как и XData, Petya использовал в качестве начального вектора заражения программное обеспечение M.E.Doc. Более того, есть признаки, указывающие на то, что Petya и XData – не единственные семейства вредоносных программ, использовавшие этот вектор заражения. В частности, через сервер обновлений M.E.Doc распространялся VBS-бэкдор из арсенала группы TeleBots.

Директория с РНР-бэкдором на FTP Управляющий сервер Telebots

Вчера, 4 июля 2017 года, в беседе с журналистами Associated Press глава украинской киберполиции Сергей Демидюк открыто заявил, что разработчики M.E.Doc знали об угрозе и получали множество предостережений от антивирусных компаний. По его словам, из-за проявленной халатности разработчикам может грозить уголовная ответственность.

Сегодня ситуация продолжила накаляться. Так, Reuters сообщает, что украинская киберполиция провела обыски и изъяла серверы M.E.Doc, после чего разработчики наконец во всеуслышание признали факт компрометации на своей странице в Facebook (сайт компании временно недоступен).

«Впервые за историю существования ПО M.E.Doc произошел беспрецедентный факт взлома, в результате которого в продукт был внесен вредоносный программный код в пакет обновления.

По словам ведущих международных экспертов и правоохранителей, вмешательство было осуществлено высокопрофессиональными специалистами.

Понимая всю ответственность, разработчики M.E.Doc приложили максимум усилий, чтобы исправить ситуацию. Нами было разработано обновление, которое гарантированно исключает угрозу для пользователей. Однако в ходе проведения следственных действий серверы компании временно изъяты для анализа проникновения.

Таким образом, пока мы лишены возможности выпустить обновление с повышенной степенью безопасности», — гласит официальное заявление.

«Чистой воды манипуляция»: почему Запад обвинил Россию в распространении вируса NotPetya

Белый дом обвинил российское оборонное ведомство в организации массированной кибератаки летом 2017 года, когда вредоносная программа NotPetyа поразила компьютеры по всему миру.

По мнению Вашингтона, главной целью вируса была Украина — так Москва якобы пыталась дестабилизировать соседнее государство, что, как считают в США, является подтверждением вовлечённости России в конфликт на территории Украины.

«В июне 2017 года российские военные запустили самую разрушительную кибератаку в истории, которая нанесла огромный ущерб», — говорится в сообщении пресс-службы Белого дома.

В заявлении отмечается, что это была «безрассудная и неизбирательная кибератака, которая повлечёт за собой международные последствия».

15 января 2018 года с аналогичными обвинениями в адрес Москвы выступила Великобритания. Как заявил замминистра иностранных дел Соединённого Королевства Тарик Ахмад, таким образом Россия в очередной раз продемонстрировала своё «пренебрежение украинским суверенитетом». Лондон призвал Москву «стать ответственным членом международного сообщества», оставив попытки «тайно» подорвать его. При этом Тарик Ахмад привёл в пример политику Великобритании, которая, по мнению дипломата, прилагает усилия для поддержания «открытого, мирного и безопасного киберпространства».

Обвинили Россию в вирусной атаке и власти Австралии. Министр по делам правоохранительных органов и кибербезопасности Энгус Тэйлор заявил, что, по сведениям австралийских спецслужб, а также по результатам консультаций с Лондоном и Вашингтоном, ведомство пришло к выводу, что власти России причастны к действиям хакеров.

Министр обороны Дании Клаус Йорт Фредериксен и Центр безопасности коммуникаций Канады (CSE) также заявили, что ответственность за распространение вируса несёт Россия. Как говорится в заявлении главы канадской спецслужбы Греты Боссенмайер, к созданию NotPetyа могут быть причастны российские субъекты.

Поводом для новой волны обвинений послужила публикация американского издания The Washington Post. Газета утверждает, что за атакой вируса NotPetya стояли хакеры российской внешней разведки, ссылаясь при этом на источники в ЦРУ: американские спецслужбы якобы установили причастность России к кибератаке ещё в ноябре прошлого года. По этой версии, за распространением вредоносного вируса стоит главный Центр специальных разработок Минобороны РФ.

Публикация The Washington Post появилась 12 января, а 7 февраля МИД России предупредил о готовящемся «вбросе» через СМИ сфальсифицированных расследований на предмет «русского следа» в хакерских атаках во время зимней Олимпиады — 2018. Ожидалось, что новые публикации могут появиться в таких СМИ, как The Washington Post и BuzzFeed. В российском дипломатическом ведомстве пояснили, что эти издания имеют давние связи с ЦРУ и АНБ.

И действительно, 12 февраля издание BuzzFeed опубликовало мнение вице-президента компании CrowdStrike Адама Мейерса, который заявил о возможной причастности «русских хакеров» к 45-минутной атаке на компьютерные системы Олимпиады, зафиксированной 9 февраля. При этом спикер признался, что доказательств у него нет.

Москва все обвинения в причастности к хакерским атакам отвергает, считая их «беспочвенными и бездоказательными». Такое заявление сделал 15 февраля пресс-секретарь президента России Дмитрий Песков. По его словам, подобные выпады лишь продолжают «русофобскую кампанию».

В Госдуме тезисы американцев и вовсе назвали «глупостью». В беседе с RT член комитета ГД РФ по международным делам Алексей Чепа сказал, что у хакеров «нет ни лица, ни национальности», а обвинять в хакерской атаке Россию, которая сама же от неё и пострадала, — это «самое модное и беспроигрышное дело на Западе».

Украинский очаг

27 июня 2017 года вредоносная программа атаковала десятки организаций и коммерческих структур на Украине и в России, после чего начала поражать компьютеры по всему миру. Вирус шифровал данные, требуя в обмен на расшифровку перечислить на виртуальный счёт $300 в биткоинах. Специалисты компании Group-IB пришли к выводу, что для атаки использовался вирус-шифровальщик Petya. Однако «Лаборатория Касперского» по результатам собственного расследования сообщила, что на этот раз речь шла о новом вирусе, получившем название NotPetya или же ExPetr.

Распространение вируса NotPetya стало не первой хакерской атакой глобального масштаба в 2017 году. В мае тысячи пользователей по всему миру пострадали от вируса-вымогателя WannaCry, поражавшего только компьютеры, оснащённые операционной системой Microsoft Windows. Как и NotPetya, программа требует выкуп за восстановление доступа к заблокированным данным на компьютере. Первой от вируса пострадала Испания, всего же WannaCry проник на ПК пользователей из 150 стран. При этом больше всего сообщений об атаках поступало из России, Украины и Индии.

Как отмечают эксперты, NotPetya действует более избирательно — чаще всего жертвами вредоносной программы становились не частные пользователи, а крупный бизнес. Также вирус затронул критически важные инфраструктурные объекты, но фатальных последствий удалось избежать. Например, о проблемах заявил тогда аэропорт Борисполь, от вируса пострадала также система мониторинга радиационной обстановки на Чернобыльской АЭС. С последствиями хакерской активности столкнулись «Укрэнерго» и «Киевэнерго». Служба безопасности Украины (СБУ) обвинила в распространении вируса российские спецслужбы.

В России о проникновении вируса на серверы сообщил ряд компаний энергетической сферы — «Роснефть» и «Башнефть», а также другие предприятия.

NotPetya принципиально отличается от предшественника тем, что восстановить удалённые им данные невозможно. В связи с этим некоторые эксперты предположили, что NotPetya распространяется не по коммерческим, а по политическим мотивам.

Эксперты ведущих IT-компаний, таких как Cisco Talos, Microsoft и «Лаборатории Касперского», пришли к выводу, что NotPetya разносился по миру благодаря программному обеспечению украинской компании M.E.Doc (занимается разработкой программ бухгалтерской отчётности). Следует отметить, что это признала и украинская киберполиция. Как заявил тогда глава МВД Украины Арсен Аваков, руководство M.E.Doc знало об уязвимости своей системы, однако ничего не предпринимало для устранения недочётов.

M.E.Doc обвинили в нарушении антимонопольного законодательства и сговоре с украинской Государственной фискальной службой (ГФС). В июле конкуренты M.E.Doc публично обратились к премьер-министру Украины с требованием расследовать деятельность компании и её возможные связи с ГФС Украины. Программное обеспечение M.E.Doc «помогало» вредоносным вирусам и прежде: в мае 2017 года через программу M.E.Doc распространился «конкурент» WannaCry — вирус-вымогатель XData. К таким выводам пришли эксперты антивирусной компании ESET.

«Учитывая, что атака началась прицельно с систем бухгалтерской отчётности, то логично предположить здесь чисто финансовые мотивы. В первую очередь пострадали российские, украинские и казахстанские компании, другие страны это задело в меньшей степени, — пояснил в интервью RT руководитель департамента информационных войн Лаборатории перспективных разработок Игорь Нежданов. — Обвинения же в адрес России являются чистой воды манипуляцией».

«Наследство» АНБ

Эксперты отмечают, что вирус NotPetya использует эксплоиты АНБ. Напомним, эксплоитом программисты называют применяемые для атаки фрагменты программного кода или последовательность команд, которые находят уязвимости в программном обеспечении.

Осенью 2017 года началась третья глобальная вирусная атака. На этот раз речь шла о вредоносной программе Bad Rabbit, которая распространялась под видом обновления для Adobe Flash Player. В основном от вируса пострадали российские предприятия, а также украинские, турецкие и германские. Специалистам из «Лаборатории Касперского» удалось выявить связь между NotPetya и Bad Rabbit — за обеими атаками стоит одна и та же кибергруппировка, считают в компании.

Задолго до этих атак отдел GReAT «Лаборатории Касперского» разместил в открытом доступе отчёт, в котором говорилось, что целый ряд вредоносных программ разработали хакеры из Equation Group. Такой вывод российские программисты сделали, проанализировав исходный код вирусов, «специализирующихся» на промышленном шпионаже и разведке. Как выяснилось, Equation Group занимается вредоносной деятельностью в 30 странах на протяжении 20 лет.

В IT-сфере существует мнение, что организация связана с правительственными структурами США. В 2016 году группа The Shadow Brokers выложила в открытый доступ набор эксплоитов и других инструментов, применяемых Equation Group. По оценкам большинства экспертов, они могли принадлежать только АНБ, хотя, конечно, и не содержали электронной подписи агентства. По информации Reuters, The Shadow Brokers не взламывали АНБ, утечка произошла в результате банальной служебной халатности одного из сотрудников американской спецслужбы.

На этом фоне Microsoft даже пришлось выпустить специальное заявление, чтобы успокоить встревоженных пользователей операционной системы, в котором говорилось, что компания успела устранить все уязвимые места в своём ПО.

Тем не менее, когда мае 2017 года серверы британских больниц подверглись массовой вирусной атаке, The Financial Times со ссылкой на собственные источники сообщила, что нападение было совершено с применением модифицированных инструментов АНБ. С аналогичным заявлением выступила организация WikiLeaks. По её данным, кибератаку на сеть больниц Великобритании произвели вирусы, ведущие своё «происхождение» от разработок АНБ.

Комментируя эту информацию, разоблачитель Эдвард Сноуден заявил, что ранее АНБ предупреждали, что его инструменты могут рано или поздно обратиться против Запада.

«Сегодня мы видим цену этому», — сказал Сноуден.

«Удобное оружие»

Как рассказал в интервью RT член правления Лиги безопасного интернета Денис Давыдов, когда разработанное АНБ кибероружие было похищено и попало в открытый доступ, оказалось, в нём был целый ряд утилит, позволяющих маскировать компьютерные атаки под так называемых русских или китайских хакеров.

«Это кибероружие создавалось американскими спецслужбами для того, чтобы обвинить в кибератаках Россию, — считает Давыдов. — Примечательно, что в основном обвинения звучат со стороны стран — членов клуба «Пяти глаз», координирующих свою разведывательную деятельность по всему миру. Почему США и их союзники решили выступить с обвинениями именно сейчас, сказать сложно: возможно, это связано с предстоящими в России выборами. Хотя, по большому счёту, нам от этих обвинений не холодно и не жарко».

По мнению Игоря Нежданова, правительства всё чаще будут прибегать к подобным обвинениям в информационных войнах.

«Не исключено, что в будущем обвинения в нанесении ущерба через кибератаки будут использоваться как повод для начала военных операций — это же очень удобно, никаких доказательств не нужно», — предположил эксперт.

Однако безответственное создание и применение кибероружия может обернуться крайне печальными последствиями, уверены эксперты.

«Политика России сейчас заключается в ограничении распространения наступательного кибероружия и вообще кибероружия. Такие средства нельзя применять, а уж тем более устраивать гонку таких вооружений», — отметил Давыдов.

По словам эксперта, набор программных утилит — это не ракеты, которые находятся на охраняемых складах. Программы легко распространяются в интернете.

«И этот процесс очень сложно контролировать. В конечном счёте это может ударить и по самим разработчикам, как, собственно, уже и произошло», — подытожил Давыдов.