giới thiệu - pwc.com · pdf filechóng gây ảnh hưởng mạnh mẽ đến...

Cách ứng phó nhanh Petya: Làn sóng tấn công mạng mới

1

Giới thiệu

Mới đây, ngày 27/06/2017, một làn sóng mã độc mới - Petya ransomware - sau khi bùng phát đã nhanh

chóng gây ảnh hưởng mạnh mẽ đến hầu hết các tổ chức thuộc những ngành công nghiệp trọng điểm. Nhiều

tổ chức bị tấn công được ghi nhận tại Ukraine, Tây Ban Nha, Hà Lan, và Anh. Sự việc này gợi nhắc đến cuộc

tấn công an ninh mạng toàn cầu WannaCry xảy ra vào tháng 05/2017. Mã độc Petya khác ở phương thức

tấn công trên nhiều cấp độ khác nhau, khi thực thi với quyền admin, hệ thống bị mã hóa sector khởi động

MBR (Master Boot Record); với quyền người dùng bình thường, Petya mã hóa các tập tin cụ thể trên hệ

thống. Mã độc này cũng dùng một số phương pháp khác để đảm bảo lây lan đến nhiều thiết bị khác.

Chúng tôi đánh giá rất có khả năng cuộc tấn công đầu tiên diễn ra tại một công ty phần mềm ở Ukraina

chuyên về phần mềm kế toán cho doanh nghiệp tư nhân và nhà nước. Phần mềm này được tích hợp dịch

vụ cập nhật tự động và sẽ thường xuyên kết nối đến các máy chủ để yêu cầu cập nhật. Bản cập nhật phần

mềm mới nhất có chứa mã độc được thực hiện như một phần của bản cập nhật. Khi đó, mã độc sẽ lây lan

qua hệ thống mạng của nạn nhân (như VPN và mạng chia sẻ) và các bên thứ ba bằng hàng loạt các phương

pháp, nhưng chủ yếu là qua sector khởi động SMB (Server Message Block) thông qua khai thác lỗi

EternalBlue.

Hiện tại, chúng tôi chưa có bằng chứng rõ ràng về việc ransomware đã lây nhiễm qua e-mail hoặc các trang

web độc hại có chủ đích (strategic web compromise) hay chưa.

Cập nhật từ ngày 28 tháng 6

Sau báo cáo đầu tiên vào ngày hôm qua, chúng tôi đã xác định một chức năng kiểm tra có trong Petya có

thể ngăn mã độc này thực thi. Khi tập tin đầu tiên bị lây nhiễm, chức năng kiểm tra sẽ được thực thi để tìm

tập tin "perfc.dat" trong thư mục: "C:\Windows\". Nếu tìm thấy tập tin này, mã độc sẽ không chạy như bình

thường mà hiển thị lỗi như hình 1. Tập tin này không nhất thiết phải chứa nội dung cụ thể mà có khi chỉ cần

tồn tại trên hệ thống như một tập tin "read only". Mặc dù nhiều nguồn tin gọi đây là "Killswitch" nhưng chúng

tôi đánh giá thuật ngữ trên không chính xác trong trường hợp này, vì tập tin này sẽ không làm cho tiến trình

mã hóa đang thực hiện bị dừng lại mà việc mã hóa hệ thống chỉ được ngăn chặn khi tập tin tồn tại trước lúc

hệ thống bị lây nhiễm. Việc ngăn chặn như trên có thể không áp dụng được trong các phiên bản mã độc

tương lai, ví dụ nếu phiên bản cập nhật mới của mã độc thay đổi việc truy vấn đến tập tin perfc.dat, việc

thực hiện killswitch sẽ không ngăn được phần mềm mã độc thực thi.


2

Hình 1 - Thông báo lỗi được hiển thị nếu hiện diện perfc.dat

Chúng tôi cũng xác nhận sự tồn tại của việc khai thác lỗ hổng EternalBlue ở địa chỉ 0x10005A7E trong tập

tin nhị phân ban đầu (initial binary). Chức năng này mở socket nhiều lần, sau đó truy vấn đến một chức năng

tại địa chỉ offset 0x10003CA0 để thực hiện lệnh XOR tới kernel shellcode với 0xCC và thực thi. Petya sử

dụng phương thức này để lây lan qua các port 139, 445. Hình 2 miêu tả hoạt động của khối shellcode tại địa

chỉ 0x1001123B0.

Hình 2 - 0x10003D80 XOR loop

Một bản chỉnh sửa của công cụ Mimikatz cũng được tích hợp vào trong tập tin nhị phân Petya, công cụ

Mimikatz này sẽ được lưu trữ trong thư mục /AppData/Local/Temp, cố gắng chiếm quyền để thu thập các

thông tin đăng nhập của máy bị nhiễm. Thêm vào đó, chúng tôi đã xác định các lệnh WMIC được dùng bởi

Petya như sau:

wbem\wmic.exe %s /node:"%ws" /user:"%ws" /password:"%ws"

process call create "C:\Windows\System32\rundll32.exe \"

C:\Windows\%s\" #1 \\%s\admin$ \\%ws\admin$\%ws

Những câu lệnh trên được sử dụng thông tin đăng nhập có được từ Mimikatz cho việc kết nối tới hệ thống,

tạo ra một tiến trình trên máy bị kết nối và thực thi tập tin Petya bằng rundll32.exe. Petya sẽ thử kết nối tới

tất cả các mạng chia sẻ bằng những tài khoản có quyền admin.

Chúng tôi đã phát hiện ra một số liên kết khác giữa phiên bản Petya này và một số mẫu cũ hơn như việc

đảm bảo hệ thống phải khởi động lại cũng như mã hóa MBR/MFT thông qua shutdown.exe và

NtRaiseHardError.


3

Khuyến nghị chiến lược

Ransomware hiện đang trở thành một mối đe dọa ngày càng phổ biến, số lượng các biến thể được thiết kế

có chủ đích nhắm vào hệ thống mạng doanh nghiệp ngày càng tăng nhanh. Bất chấp việc bùng nổ mạnh mẽ

của ransomware này, các doanh nghiệp hoàn toàn có thể thiết lập chiến lược để giảm thiểu khả năng bị tấn

công, hạn chế mức độ thiệt hại cũng như đảm bảo việc phục hồi hệ thống diễn ra nhanh chóng và hiệu quả.

Các chiến lược này được kết hợp từ nhiều khía cạnh của công tác vận hành và đảm bảo an toàn thông tin

cho hệ thống. Chủ yếu liên quan tới các yếu tố sau:

Lập kế hoạch và diễn tập đảm bảo hệ thống vận hành liên tục - Đảm bảo các hệ thống người dùng cá

nhân và các máy chủ trọng yếu có thể được khôi phục nhanh chóng từ những bản sao lưu, và tần suất sao

lưu được sắp xếp theo khung thời gian của dữ liệu mà tổ chức đã chuẩn bị trước trong trường hợp hệ thống

bị mã hóa dữ liệu.

Lập kế hoạch phòng chống và phản ứng trước sự cố - Đảm bảo có những quy trình chuẩn, theo đó nhân

viên cùng những người chịu trách nhiệm quản lý sự cố có mức độ ưu tiên cao trong tổ chức có thể xử lý các

vấn đề liên quan đến ransomware và khả năng khôi phục các dịch vụ cần thiết cho nhân viên cũng như khách

hàng.

Chính sách bảo mật chặt chẽ và nâng cao nhận thức người dùng - Ngăn chặn ransomware xâm nhập

vào hệ thống IT thông qua những kênh kết nối phổ biến, phishing, qua việc áp dụng kiểm soát chặt chẽ đối

với email gateways và các phân vùng mạng, tăng cường các hoạt động nâng cao nhận thức về an toàn thông

tin của nhân viên.

Quản lý bản vá và lỗ hổng - Những lỗ hổng bị khai thác trong cuộc tấn công này đã được khắc phục bằng

các bản vá mà Microsoft công bố vào tháng 3 và trong tuần này. Một quy trình quản lý lỗ hổng hiệu quả sẽ

giúp giảm thiểu các dạng tấn công tương tự.

Khuyến nghị ưu tiên và một số lưu ý

Ban Giám đốc nên đảm bảo rằng các nhóm quản lý vận hành hệ thống CNTT và máy tính người dùng

được hỗ trợ đầy đủ để triển khai nhanh các bản cập nhật bảo mật quan trọng tháng 4 và tháng 5 của

Microsoft cùng với bản cập nhật bảo mật MS17-010;

Ban Giám đốc nên xem xét các khuyến nghị của nhóm quản lý hệ thống CNTT về việc bảo mật hệ thống

có thể làm gián đoạn tạm thời một số dịch vụ CNTT khi áp dụng các kiểm soát bổ sung nhằm vô hiệu các

lỗ hổng, theo đó nhóm CNTT cần thực hiện kế hoạch nhằm:

o Vô hiệu hóa tất cả các truy cập dịch vụ SMB bên ngoài (chặn các cổng 137, 139 và 445 đến/

từ Internet);

o Vô hiệu hoá việc sử dụng các giao thức chia sẻ file mạng SMBv1 trên toàn bộ hệ thống CNTT;

o Vô hiệu hóa khả năng thực hiện các macro không xác thực trong tài liệu Office, sử dụng các

thiết lập chính sách nhóm (và chứng thực macro của doanh nghiệp);


4

o Đảm bảo xác thực hai yếu tố được áp dụng cho tất cả các truy cập vào hệ thống cần thiết

(chẳng hạn như VPN và RDP);

o Xác định và thiết lập ngăn chặn tất cả các kết nối từ những hệ thống chưa được cập nhật bản

vá MS17-010 vào hệ thống chính của doanh nghiệp. Những phân đoạn mạng không dành cho

vận hành hệ thống nên được ngăn cách hoàn toàn khỏi hệ thống chính;

o Đảm bảo hệ thống phòng chống mã độc của doanh nghiệp được cập nhật đầy đủ dữ liệu

phòng chống mã độc;

o Bất cứ hệ thống nào bị nhiễm mã độc cần được tách ly hoàn toàn ra khỏi môi trường vận hành

doanh nghiệp.

PwC không bao giờ khuyến khích việc trả tiền chuộc khi bị ransomware tấn công trừ khi đó là mối đe dọa

tới tính mạng. Việc trả tiền chuộc chỉ giúp thúc đẩy việc tấn công bằng ransomware, tài trợ phát triển các

kỹ thuật và chiến dịch.

Phân tích kỹ thuật

Hiện tại các phương hướng lây nhiễm của đợt bùng phát Ransomware mới nhất chưa được xác định rõ.

Nếu thực thi dưới quyền Administrator, mã độc sẽ mã hóa Master Boot Record (MBR) nhưng không mã hóa

tập tin trong ổ đĩa. Việc MBR bị mã hóa sẽ khiến người dùng không thể nào khởi động lại hệ thống một theo

cách bình thường và màn hình sẽ hiển thị với thông điệp từ Ransomware.Tuy nhiên khi hoạt động với quyền

của người dùng bình thường, mã độc chỉ mã hóa những loại tập tin nhất định (loại tập tin được thiết kế ở

phụ lục A), hành vi đặc trưng Goldeneye.

Tập tin nhị phân với thông số đặc trưng như sau:

Mã MD5: 71b6a493388e7d0b40c83ce903bc6b04

Mã SHA1: 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

Dung lượng tập tin: 362,360 bytes

Trình biên dịch: Microsoft Visual C/C++ 2010

Linker: Microsoft Linker 10

Đầu tiên, mã độc sẽ xác minh hệ điều hành đang vận hành của nạn nhân là 32 bit hoặc 64 bit. Nếu đây là

một hệ điều hành Windows 64 bit, mã độc sẽ tải phiên bản tương thích vào thư mục AppData\Local\Temp

theo định dạng .tmp. Tập tin có thể được nhận biết dựa trên những thông số đặc trưng sau:

Mã MD5: 7e37ab34ecdcc3e77e24522ddfd4852d

Mã SHA1: 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf

Dung lượng tập tin: 56320 bytes

Trình biên dịch: Microsoft Visual C/C++ 2010

Linker: Microsoft Linker 10


5

Đáng nói nhất là khoảng thời gian mà thư viện liên kết động sử dụng cho cuộc tấn công và mã payload được

biên dịch chỉ cách nhau 12 ngày (x64 DLL: 2017-06-06, mã độc: 2017-06-18). Theo đánh giá của chúng tôi,

chiến dịch phát tán mã độc này đã được lên kế hoạch cách đó vài tuần trước đợt bùng phát.

Hình 3 là tập tin DLL nguyên gốc có chứng chỉ số không hợp lệ, được sao chép từ các công cụ Sysinternals

của Microsoft và ký vào ngày 27 tháng 04 năm 2010.

Hình 3 - Chữ kí số được sử dụng và mạo nhận được tạo ra từ ‘Microsoft Corporation’

Vì định dạng ban đầu là một tập tin DLL nên việc thực thi chỉ có thể được thực hiện thông qua chương trình

rundll32.exe bằng câu lệnh sau:

rundll32.exe perfc.dat #1

Những câu lệnh sau sẽ được sử dụng khi mã độc thực thi:

wevtutil cl Setup wevtutil cl

System wevtutil cl Security

wevtutil cl Application fsutil

usn deletejournal /D C:


6

Hình 4 – Những lệnh được sử dụng cho việc xóa log và vô hiệu hóa USN Journal

Wevutil là một chương trình được Microsoft sử dụng cho việc xử lý log và tham số ‘cl’ được dùng cho tác vụ

xóa log. Trong trường hợp này, mã độc đã xóa hầu hết log (cài đặt, hệ thống, an ninh và ứng dụng) nhằm

mục đích che giấu những hành động của mình trên hệ thống. Tiếp theo chương trình fsutil được sử dụng để

xóa và vô hiệu hóa hoàn toàn tính năng USN Journal trên máy bị nhiễm. Nói cách khác, hệ thống sẽ không

thể tác động lên ổ đĩa cũng như nội dung trong đó, gần như loại bỏ khả năng khôi phục dữ liệu sau thời điểm

tấn công.

Mã độc sẽ thiết lập một lịch trình tác vụ cho việc tắt hệ thống và diễn ra trong vòng một tiếng sau khi các lệnh

trên thực thi hoàn thành.

Một tập tin dllhost.data (mã MD5: aeee996fd3484f28e5cd85fe26b6bdcd) sẽ được tải xuống thư mục

%WINDIR%, đây chính là một phiên bản của ứng dụng PSEXEC - một ứng dụng quản trị sử dụng cho việc

thực thi các lệnh từ xa. Chúng tôi đã quan sát được việc quét toàn bộ các máy trong cùng lớp mạng để tìm

ra thư mục admin được chia sẻ với những câu lệnh sau:

\\%\s\admin$

\\%\s\admin%w$

Đây chính là một trong những phương thức mà mã độc sử dụng trong việc lây nhiễm ra toàn bộ hệ thống.

Thêm vào đó, còn có những bằng chứng cho thấy ứng dụng wmic cũng đã bị lợi dụng cho việc lây nhiễm:

wbem\wmic.exe %s /node:"%ws" /user:"%ws" /password:"%ws" process call create

“C:\Windows\System32\rundll32.exe \”C:\Windows\%s\”

Với mục đích gia tăng sự lây nhiễm trong hệ thống, mã độc còn rà soát toàn bộ lớp mạng để tìm kiếm các

máy đang chạy dịch vụ SMB (ports 139, 445) và khai thác lỗ hổng trên dịch vụ này tương tự như WannaCry

và EternalBlue.


7

Những thông số đặc trưng

Tên tập tin:

dllhost.dat

Mã băm:

71b6a493388e7d0b40c83ce903bc6b04

a1d5895f85751dfe67d19cccb51b051a

7e37ab34ecdcc3e77e24522ddfd4852d

e285b6ce047015943e685e6638bd837e

2813d34f6197eb4df42c886ec7f234a1

Email:

wowsmith123456@posteo[.]net

URL cho việc trả tiền:

http://mischapuk6hyrn72.onion/

http://petya3jxfp2f7g3i.onion/

http://mischa5xyix2mrhd.onion/MZ2MMJ

http://mischapuk6hyrn72.onion/MZ2MMJ

http://petya3jxfp2f7g3i.onion/MZ2MMJ

http://petya3sen7dyko2n.onion/MZ2MMJ

http://petya3sen7dyko2n.onion/

Các luật phát hiện trên IDS:

alert http any any -> any any (msg:"[PwC] Crimeware - Petya Ransomware - OPTIONS /";

flow:established,from_client; urilen:1; content:"OPTIONS"; http_method; content:"DavClnt";

http_user_agent; content:"translate: f|0d 0a|"; http_header; pcre:"/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-

9]{1,3}$/W";

reference:md5,07250ff40d5f112217a0f7831379f54c3daff24bd628d06b046b21b038d683c9;

classtype:trojan-activity; metadata:copyright,Copyright PwC UK 2017; metadata:tlp amber;

metadata:confidence High; metadata:efficacy Unknown; sid:9000199; rev:2017062701;)

alert http any any -> any any (msg:"[PwC] Crimeware - Petya Ransomware - OPTIONS /admin$";

flow:established,from_client; urilen:7; content:"/admin$"; http_uri; content:"OPTIONS"; http_method;

content:"Microsoft-WebDAV-MiniRedir";


8

http_user_agent; content:"translate: f|0d 0a|"; http_header; pcre:"/^[0-9]{1,3}\.[0-

9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$/W";




alert http any any -> any any (msg:"[PwC] Crimeware - Petya Ransomware - PROPFIND /admin$";

flow:established,from_client; urilen:7; content:"/admin$"; http_uri; content:"PROPFIND"; http_method;

content:"Microsoft-WebDAV-MiniRedir"; http_user_agent; content:"translate: f|0d 0a|"; http_header;

content:"Depth: 0|0d

0a|"; http_header; content:"Content-Length: 0|0d 0a|"; http_header; pcre:"/^[0-

9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$/W";




Các luật phát hiện trên Yara:

rule Petya : Ransomware

{ meta:

author = "PwC Cyber Threat Operations"

copyright = "Copyright PwC UK 2017 (C)" hash = "71b6a493388e7d0b40c83ce903bc6b04"

date = "2017-06"

tlp = "white"

description = "Identifies latest Petya/Mischa combination."

strings:

$mz = "MZ"

$s1 = "\\.\\pipe\\%ws"

$s2 = "\\%s\\admin$"

$s3 = "\\%ws\\admin$\\%ws"

$s4 = "TERMSRV/"

$s5 = "wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil

usn deletejournal /D %c:"

$x1 = "CHKDSK is repairing sector"

$x2 = "Please reboot your computer!"

$x3 = "Decrypting sector"

$x4 = "Ooops, your important files are encrypted."

$d1 = "dllhost.dat" fullword

$d2 = "bHbGcDiHpY`" fullword


9

$d3 = "perfc.dat" fullword

$e1 = "[email protected]"

$e2 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" fullword

Condition:

$mz at 0 and

(

all of ($s*) or 2 of ($x*) or 2 of ($d*) or any of ($e*)

)

}

rule MimiPetya : Ransomware

{

meta:

author = "PwC Cyber Threat Operations" copyright = "Copyright PwC UK 2017 (C)"

date = "2017-06" tlp = "white"

hash1 = "2813D34F6197EB4DF42C886EC7F234A1" hash2 =

"7E37AB34ECDCC3E77E24522DDFD4852D"

description = "Detects Petya using modified version of Mimikatz. Will also hit on some original

Mimikatz binaries."

strings:

//x86

//Petya version

$ = { 55 8B EC 83 E4 F8 83 EC 4C 53 56 57 33 FF 8D 44 24 18 BB ?? ?? ?? ?? 89

44 24 10 89 5C 24 14 C7 44 24 0C 07 00 00 00 39 3D ?? ?? ?? ?? }

//Original Mimikatz

$0x4023e1 = { 55 8B EC 83 E4 F8 83 EC 24 8B 55 08 8B 02 8B 4D 0C 83 64 24 04

00 83 64 24 20 00 81 7A 0C CE 0E 00 00 53 56 8B 31 57 6A 07 89 44 24 18 89 44 24 28 8B 41 08

89 44 24 2C 58 6A 1C 5F 6A 16 89 74 24 24 C7 44 24 10 25 02 00 C0 C7 44 24 1C ?? ?? ?? ?? C7

44 24 20 ?? ?? ?? ?? 8B F0 5B }

//x64

//Petya version

$ = { 48 8B C4 48 89 58 10 48 89 68 18 48 89 70 20 57 41 54 41 55 41 56 41 57


10

48 81 EC 30 08 00 00 45 33 FF 48 8B F9 41 8B DF 41 8B F7 41 8B EF 44 89 78 08 4C 39 79 08 }

//Original Mimikatz

$ = { 48 8B C4 48 89 58 20 4C 89 40 18 48 89 50 10 48 89 48 08 55 56 57 48 83

EC 50 45 33 DB 49 8B F0 4D 8B 40 10 48 8B 1E 4C 89 58 C0 48 8D 05 BA B8 0A 00 48 89

44 24 30 48 8B 41 08 4E 8D 0C 03 4C 89 44 24 38 4C 89 5C 24 40 48 8B EA 4C 8B D1 41 8B FB

4C 89 4C 24 20 44 39 18 }

condition

:

uint16(0) == 0x5a4d and any of them

}

Thông tin khác

Chúng tôi chuyên cung cấp các dịch vụ hỗ trợ khách hàng trong công tác phòng chống, phát hiện và ứng phó

trước các cuộc tấn công an ninh mạng ngày càng tinh vi như vi phạm dữ liệu, đánh cắp thông tinh kinh tế và

xâm nhập có chủ đích, thường được nhắc tới với tên gọi APTs. Phân tích chi tiết hơn về các chủ đề được đề

cập trong báo cáo này và những nghiên cứu tương tự khác cũng là một phần của dịch vụ threat intelligence

(TI) mà chúng tôi cung cấp. Nếu quý vị có nhu cầu biết thêm thông tin về bất kỳ chủ đề nào được thảo luận

trong đợt báo cáo cảnh báo này, vui lòng liên hệ bằng cách gửi mail đến [email protected] hoặc

[email protected].


11

Phụ lục – Các loại tập tin mục tiêu

File Type

.3ds .dwg .pst .work

.7z .eml .pvi .xls

.accdb .fdb .py .xlsx

.ai .gz .pyc .xvd

.asp .h .rar .zip

.aspx .hdd .rtf

.avhd .kdbx .sln

.back .mail .sql

.bak .mdb .tar

.c .msg .vbox

.cfg .nrg .vbs

.conf .ora .vcb

.cpp .ost .vdi

.cs .ova .vfd

.ctl .ovf .vmc

.dbf .pdf .vmdk

.disk .php .vmsd

.djvu .pmf .vmx

.doc .ppt .vsdx

.docx .pptx .vsv


12

Tài liệu này được soạn thảo bởi PricewaterhouseCoopers LLP ("PwC"), chỉ dành cho các khách hàng đã ký hợp đồng với

PwC về các dịch vụ liên quan và chỉ dành cho mục đích đã thỏa thuận cũng như theo các điều khoản đặt ra trong hợp

đồng. PwC không chịu trách nhiệm pháp lý (kể cả do sơ suất) đối với bất cứ ai liên quan đến tài liệu này. Tài liệu chỉ được

phân phối theo phân loại TLP từ nơi cung cấp, ngoài ra sẽ không được cung cấp cho bất cứ ai khác.

giới thiệu - pwc.com · pdf filechóng gây ảnh hưởng mạnh mẽ đến...

Documents