Petya, NotPetya, PetrW, geeft het beestje een naam: het virus.

Petya, NotPetya, PetrW, geeft het beestje een naam: het virus.

DearBytesBlogMalware/ransomwarePetya, NotPetya, PetrW, geeft het beestje een naam: het virus.

woensdag 28 juni 2017

Op 27-06-2017 zijn verschillende organisaties getroffen door een nieuwe ransomware variant (vooral bekend onder de naam Petya) welke gebruik maakt van minstens twee methodes om zichzelf in een intern netwerk te verspreiden.

Verspreiding

Initiële vector onbekend er gaan verschillende geruchten. Zo zou het gaan om een document dat gebruik maakte van CVE-2017-0199 (HTA) welke d.m.v. PowerShell een .exe download en uitvoert. Andere geluiden duiden op het update mechanisme van “MeDoc” de firma gaf later in een bericht welke vertaald beschreef: “Attention! Our server made a virus attack. We apologize for the inconveniece!”. Later werd dit vermoede bevestigd door de Oekraïense “cyber” politie.

Interne verspreiding vond plaats door middel van SMB. Zo trachtte het geïnfecteerde systeem andere systemen welke poort 445 open hadden in kaart te brengen. Tijdens de eerste scans maakte het virus gebruik van delen code van Mimikatz (https://twitter.com/gentilkiwi/status/879855038713274369) deze tool is in staat leesbare wachtwoorden uit het geheugen te onttrekken. Vervolgens werd dit wachtwoord gebruikt om d.m.v. psexec systeem commando’s uit te voeren op andere systemen binnen het netwerk. Hierbij werd het proces gestart d.m.v. WMI “process call create \”C:\\Windows\\System32\\rundll32.exe \\\”C:\\Windows\\perfc.dat\\\” #1″. Het commando laadt door middel van rundll32 een dll in met als parameters de entrypoint functie en een wachtwoord welke voor verspreiding gebruikt dient te worden. Wanneer de eerste scan d.m.v. de verkregen gebruikersnaam en wachtwoord is afgelopen stapt het virus over op het gebruik van de EternalBlue exploit (ms17-010).

Shutdown

De shutdown vond plaats d.m.v. een big bang, dat wil zeggen alle systemen krijgen eenzelfde reboot tijd mee als “patient zero”. In onze test omgeving zagen we dat alle systemen eenzelfde reboot tijd kregen. Deze reboot tijd lijkt van belang omdat na reboot de encryptie van de Master File Table (MFT) zou plaatsvinden. Het voortijdig stoppen van de reboot zou de encryptie van MFT voorkomen.

Petya

Echter melden andere bronnen dat de tool at runtime al begint met de encryptie van een set aan bestandsextensies. Deze bestandsextensies zijn interessant omdat de focus ligt op bestandsextensies welke te maken hebben met automatisering. Zo zocht het virus naar extensies als:

  • vmdk
  • py
  • sql
  • conf
  • sln

Mitigeren

Het stoppen van het virus vergt verschillende stappen. De variant welke voor problemen zorgde schrijft zichzelf weg naar “C:\Windows\perfc.dat” om vervolgens het bestand als DLL in te laden. Het blokkeren van een het schrijven van het bestand of een bestand plaatsen met dezelfde naam lijkt infectie te voorkomen.

Het is echter onduidelijk of dit alleen werkt bij infectie d.m.v. psexec of ook bij infectie dm EternalBlue. Structureel verhelpen van de manier van verspreiden zoals het virus deze inzette vergt een andere aanpak. Zo is het voor dit (Petya) virus specifiek zaak om:

  • patch ms17-010
  • maak gebruikers geen local admin of in ieder geval niet op elkaars systeem

Het is echter redelijk om aan te nemen dat andere ransomware een voorbeeld neemt aan het virus en doorbouwt op de gebruikte technieken.

Toekomst

Het virus maakte gebruik van Mimikatz om van de uitvoerende gebruiker het leesbare wachtwoord te achterhalen en deze te hergebruiken. Het is echter in de toekomst goed mogelijk dat malware verder gaat dan dit. Voor WannaCry en Petya heeft het pentest team intern een discussie gevoerd hoe beter ransomware aanvallen te doen op bedrijven en hoe wij daarmee zouden proberen geld te verdienen. Hiermee kwamen we op de volgende ideeën:

  • Herleiden van wachtwoorden uit unnatend.xml
  • Herleiden van wachtwoorden uit SYSVOL (ge-encrypte wachtwoorden in GPO)
  • Gebruik van Pass-The-Hash wanneer locale accounts over verschillende wachtwoorden hetzelfde zijn
  • Gebruik van Incognito om Windows Tokens te hergebruiken
  • Gebruik van MimiKatz om wachtwoorden van alle gebruikers te dumpen
  • Maken van en gebruiken van een Golden Ticket wanneer de aanvaller toegang heeft tot de Domain Controller

Voor meer informatie over Petya en wat er tegen te doen is, verwijzen we je graag door naar een eerder bericht op onze site.