понедельник, 3 июля 2017 г.

NotPetya - анализ CyberArk

Описание последствий WannaCry и NotPetya уже можно было не раз встретить у Владимира Безмалого, Алексея Лукацкого и многих других специалистов, мгновенно прореагировавших на новость об этих атаках.
Компания CyberArk, специализирующаяся на защите привилегированных учётных записей тоже делится своим анализом произошедшего:

28 июня 2017 года | Лабораториz CyberArk| Яаков Бен Наим

В мае 2017 года вирус WannaCry воспользовался уязвимостью в операционной системе Windows, вызвав пандемию вируса кибербезопасности под названием «вымогательство», который может распространяться как обычный червь. Результаты оказались катастрофическими, и, по некоторым оценкам, общий ущерб достиг более 4 миллиардов долларов. Вчера появился ещё один опасный вирус, получивший название NotPetya. Он вызвал новую волну атак на компьютерные системы и по размерам причинённого ущерба, скорей всего, превзойдет WannaCry. Хотя авторы и причины распространения вируса пока неизвестны, CyberArk Labs загрузила для анализа несколько образцов вредоносного ПО и получила следующие результаты:

Точка заражения - Украина
27 июня началась массовая координированная атака на большое количество правительственных учреждений и крупных предприятий Украины с целью вымогательства. Эта первая волна была инициирована злоумышленниками, которые на тот момент уже находились в целевых сетях. Они проникли в эти сети заранее и использовали время для изучения, наблюдения и планирования атаки с целью достижения максимального результата.

Предполагается, что нападавшим удалось обнаружить уязвимости в программном обеспечении, которое широко используется в государственных учреждениях Украины. Первоначальный анализ, который провела CyberArk Labs, показывает, что первая волна атак вируса NotPetya обошла те конечные точки, которые использовали клавиатуры только с английской раскладкой. Это ограничение, предположительно, было заложено разработчиками заранее и наблюдалось в атаках на государственные организации.

Уязвимость в цепочке поставок: анализ показывает, что злоумышленники продолжают проникать в организации через их поставщиков, партнёров и другие сторонние организации, подключенные к целевым сетям.

Первая атака была прекрасно организована по времени – большинство целевых систем было разрушено в течение первого часа после нападения.

После того, как вирус NotPetya захватил этот плацдарм внутри организаций, он стал распространяться, используя тот же самый невероятно эффективный алгоритм, что и WannaCry до него - использовал уязвимость «eternalblue» в протоколе SMB на системах Microsoft. Лаборатория CyberArk также подтвердила, что NotPetya имеет встроенный модуль Mimikatz, предназначенный для кражи данных учетных записей и облегчения распространения атаки внутри всей инфраструктуры организации, заражая дополнительные машины.

Важно заметить, что факт кражи данных учетных записей означает, что даже те организации, которые исправили уязвимость SMB «eternalblue» в системах Microsoft, остаются по-прежнему уязвимы.

Формирование глобальной пандемии

В то время как первая атака пришлась на украинские правительственные учреждения и предприятия, вторая и все последующие волны, похоже, прокатились по России и затем стали распространяться по всему миру.
После первоначального заражения вредоносное ПО распространялось традиционным способом – при помощи фишинговых писем. Целевые фишинг-письма рассылались случайным получателям по всему миру, и после того, как те кликали прикреплённый файл или ссылку, на экране появлялось требование заплатить выкуп.

Так как вирус-вымогатель попал в сеть при помощи фишинга, то, как уже отмечалось выше, риску подверглись даже те организации, которые своевременно пропатчили уязвимость «eternalblue». Остановить этот вирус на периметре защиты было невозможно.

Как только получатель открывал заражённое письмо, двоичный файл попадал на целевую машину, которая проверяла конечную точку на наличие локальных прав администратора. Если устройство не обладало правами администратора, то вирус-вымогатель в этом случае просто «умирал».

Однако если права администратора всё-таки обнаруживались, то вирус сразу менял главную загрузочную запись (MBR) и устанавливал новый загрузочный раздел. Затем приступал к работе модуль Mimikatz, который воровал дополнительные учетные данные для облегчения дальнейшего распространения атаки внутри всей инфраструктуры организации.
Это ключевой момент в процедуре распространения вируса-вымогателя, так как NotPetya искал дополнительные машины для заражения внутри организаций. Если атакованная организация не кспела вовремя исправить уязвимость «eternalblue», то вирус спокойно распространялся через эту брешь. Для NotPetya это был самый быстрый и эффективный способ распространения внутри сети, потому что, действуя таким образом, он без кражи учётных записей позволяет запускать вирус в системных привилегиях на другом компьютере.
Несмотря на то, что установка исправлений (патчей) от производителя ПО всё ещё считается самой эффективной защитой от вирусов, в случае с NotPetya этого было явно недостаточно. В тех случаях, когда система была пропатчена, вирус-вымогатель получал доступ к компьютерам при помощи учетных записей, которые украл модуль Mimikatz и, благодаря этому, легко находил уязвимые компьютеры, чтобы использовать эти учётные записи при помощи встроенного инструмента командной строки PSexec.

Что было до хаоса

После распространения внутри организации вирус-вымогатель ждёт какое-то время (10-60 минут), а затем перегружает компьютер. Эта операция запускает «тонкий загрузчик», который шифрует главный загрузчик вместо документов и приложений. Вот почему данное вредоносное ПО считается настолько опасным – оно не даёт пользователям перезагружать их компьютеры.
Результатом атаки NotPetya стал организационный хаос в работе крупных предприятий на Украине, в Индии, США, России и других странах.
Защита вашей организации
Как и в случае предыдущих угроз вымогательства, сочетание контроля минимальных привилегий и политик управления приложениями на конечных точках и серверах может значительно снизить риск распространения вредоносного ПО, такого как, например, NotPetya, из начальной точки заражения.
При тестировании в лаборатории CyberArk комбинация контроля наименьших привилегий и приложений из «серого списка» доказала свою 100 процентную эффективность при блокировке исполняемого файла NotPetya.

CyberArk настоятельно рекомендует всем организациям предпринять следующие меры:

* Немедленно провести резервное копирование важных данных: это самая главная и необходимая мера, хотя и недостаточная для полной защиты. Однако все организации должны быть уверены, что все критически важные данные были сохранены в резервных копиях.

* Следовать принципу наименьших привилегий: всегда настраивайте управления доступом с наименьшим количеством привилегий, включая общие разрешения на доступ к файлам, каталогам и сетям. Большинство пользователей не нуждаются в привилегиях администратора для выполнения своих повседневных обязанностей на корпоративных компьютерах, поэтому доступ пользователя должен оставаться на минимальном уровне, который позволит ему нормально работать в рамках его функциональных обязанностей.
- Примечание: эти меры не сделают вас неуязвимыми для NotPetya и других вирусов-вымогателей, но они не дадут этим вирусам быстро распространиться и причинить серьёзный вред. Конечные точки можно заменить, а вот прекращение работы всей организации может означать конец любому бизнесу.

* Контролировать приложения: контроль исполняемых файлов, имеющих доступ к другим файлам вашей системы, также внесёт свою лепту в построение системы защиты. Например, если вы поместили исполняемый файл PowerPoint в «белый список» как единственный исполняемый файл, который имеет разрешение на запись ваших файлов презентаций, то, в том случае, если исполняемый файл вируса-вымогателя попытается зашифровать и перезаписать эти файлы, ему будет отказано в доступе (так как он не находится в разрешённом «белом списке». Также важно назначить политики, основанные на доверии, которые будут защищать эти «разрешённые» приложения.
Отключить протокол SMB v1 и установить исправления: организации, которые не сделали этого заранее, стали первыми жертвами вируса NotPeyta. Отсутствие патчей нельзя оправдать в этой ситуации ничем. Любая организация должна немедленно отключить устаревший протокол SMB версии 1 или просто применить исправление MS17-010, выпущенное Microsoft несколько месяцев назад.
 
* Блокировать доступ в Интернет: протокол SMB от Microsoft должен быть внутренним, поэтому ваша сеть должна быть закрыта для SMB -пакетов из Интернета. Ещё одной превентивной мерой безопасности является фильтрация портов для блокировки всех версий SMB по периметру сети. Лаборатория CyberArk продолжает изучать новые варианты этого вируса-вымогателя и будет делиться результатами дополнительных тестов и выводами.

https://www.cyberark.com/blog/notpetya-global-pandemic-cyberark-labs-analysis/

Комментариев нет:

Отправить комментарий