Общая информация
- Вектор атаки: фишинговые письма, которые дальше распространяются в пределах корпоративной сети.
- Первоначальный источник заражения – скомпрометированные файлы обновлений ПО «M.E.Doc».
- Используется уязвимость для исполнения вредоносного кода: CVE-2017-0199.
- Используется уязвимость для распространения и заражения: CVE-2017-0144 (EternalBlue) .
Новая разновидность вредоносного программного обеспечения Petya.A. (предположительное название), атаковавшего компьютерные сети в странах СНГ (>80 организаций) и в некоторых странах ЕС, по предварительным данным, в ходе своей работы использует уязвимости в Microsoft Office и эксплойт ETERNALBLUE [2], использующий уязвимость в SMBv1 (CVE-2017-0144, патч MS17-010).
I. Превентивные меры:
1. Заблокировать доступ к следующим ресурсам:
|
Тип
|
Значение
|
|
url
|
http://185.165.29.78/~alex/svchost.exe
|
|
url
|
http://84.200.16.242/myguy.xls
|
|
url
|
http://french-cooking[.]com/myguy.exe
|
|
ip
|
185.165.29.78
|
|
ip
|
84.200.16.242
|
|
ip
|
111.90.139.247
|
|
ip
|
95.141.115.108
|
|
domain
|
coffeinoffice.xyz
|
2. До момента обновления всего парка рабочих станций и серверов, временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам 135 -139 и 445. Данная мера позволит снизить риск распространения вредоносного ПО “Petya 2.0” внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации.
3. Убедиться, что на всех хостах установлены последние обновления.
4. Убедиться, что антивирусное ПО имеет последние версии антивирусных сигнатур. База сигнатур должна быть обновлена 28.06.2017 не ранее 20:00 (первые упоминания о добавлении Petya.C в базу сигнатур начали поступать в 19ч).
5. Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010). Скачать обновление можно по ссылке: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
6. Установить обновление безопасности для Microsoft Office. Скачать обновления для своей версии можно по ссылке: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
7. В случае невозможности установки обновлений безопасности (см. пункт 5) – отключить протокол SMB v1/ на рабочих станциях и серверах в соответствии с инструкцией
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
8. На серверах и рабочих станциях организовать создание резервных копий данных с помощью сторонних средств (отличных от «теневых копий» документов Windows и средства восстановления Windows, т.к. данные резервные копии могут быть уничтожены в процессе работы ВПО). Запретить запуск исполняемых файлов, имена которых попадают под маску *\psexesvc.exe или *\perfc.dat. Сделать это можно штатными средствами ОС Windows (Applocker, Software Restriction Policy), решениями класса Endpoint Security (Kaspersky Endpoint Security и т.п.), СЗИ от НСД (SecretNet).
В случае, если сотрудники компании используют psexec для административных задач, меру исключить.
Примечание: На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:
Windows XP SP3:
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows Server 2003 x86:
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x64:
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
II. Рекомендации по факту заражения:
Рекомендуется выполнить следующий перечень действий – самостоятельно, либо обратившись к дежурному администратору:
- отключить зараженную машину от сети;
- в случае наличия резервной копии данных – произвести удаление вредоносного ПО средствами антивируса;
- установить обновление безопасности Windows KB4013389 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ;
- произвести обновление баз сигнатур антивирусного ПО и выполнить полную антивирусную проверку рабочей станции/сервера;
- восстановить данные из резервной копии;
- при повреждении MBR попытаться восстановиться следующим способом (не подтверждено):
- bootrec /RebuildBcd
- bootrec /fixMbr
- bootrec /fixboot
III. Способы обнаружения
- Обнаружение факта заражения на АРМ.
В ходе заражения применяются системные утилиты:
- wevtutil.exe
- schtasks.exe
- fsutil.exe
- wmic.exe
- at.exe
Обнаружение возможно посредством мониторинга событий Windows/Security ID 4688, при наличии расширенного логирования командной строки:
- cmd.exe ” /TR “%WINDIR%\system32\shutdown.exe /r /f
- schtasks.exe ” /TR “%WINDIR%\system32\shutdown.exe
- cmd.exe /c wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D C:
- wevtutil.exe wevtutil cl Setup
- wevtutil.exe wevtutil cl System
- wevtutil.exe wevtutil cl Security
- wevtutil.exe wevtutil cl Application
- fsutil.exe fsutil usn deletejournal /D C:
Примечание:
Для обеспечения функции расширенного логирования командной строки в ОС Windows, необходимо:
- Установить патчи, расширяющие возможности логирования командной строки в Windows https://support.microsoft.com/en-us/help/3004375/microsoft-security-advisory-update-to-improve-windows-command-line-auditing-february-10,-2015
- Установить официальное расширение от Microsoft для продвинутого мониторинга операционной системы — Windows Sysinternals Sysmon https://technet.microsoft.com/en-us/sysinternals/sysmon
2. Обнаружение распространения по сети
В ходе распространения по сети, предположительно, используется разновидность инструмента от Microsoft Windows Sysinternals — PsExec.
Существует SIGMA-правило [5] для обнаружения использования PsExec, оно может быть автоматически сконвертировано в запрос Splunk и ElasticSearch: https://github.com/Neo23x0/sigma/blob/d1f1bd59da2afe3a153e6453edcd7ea73acce9c6/rules/windows/other/win_tool_psexec.yml
title: PsExec tool execution on destination host
status: experimental
description: Detects PsExec service installation and execution events (service and Sysmon)
author: Thomas Patzke
reference: https://www.jpcert.or.jp/english/pub/sr/ir_research.html
logsource:
product: windows
detection:
service_installation:
EventID: 7045
ServiceName: 'PSEXESVC'
ServiceFileName: '*\PSEXESVC.exe'
service_execution:
EventID: 7036
ServiceName: 'PSEXESVC'
sysmon_processcreation:
EventID: 1
Image: '*\PSEXESVC.exe'
User: 'NT AUTHORITY\SYSTEM'
condition: service_installation or service_execution or sysmon_processcreation
falsepositives:
- unknown
level: low