Petya Ransomware, #NotPet



27 Haziran 2017 tarihinde tekrar ortaya çıkan Petya ransomware zararlısı, 2016 yılından günümüze kadar PetrWrap, GoldenEye ve Nyetya gibi farklı isimlerle adından söz ettirmeye başladı.  65 ülkede 12.000 cihazın kullanımıyla oluşan siber saldırı için NATO, saldırının arkasında devlet faktörü olduğunu söyledi. Kaspersky Lab, en çok Rusya ve Ukrayna’da olmak üzere en az 2.000 hedefin etkilendiğini belirtti. Saldırıların, Almanya, İngiltere ve Çin de dahil olmak üzere birçok ülkeye de bulaştığı tahmin edilmektedir. Zararlının yapısı incelendiğinde, bir üretim tesisinin operasyonunu önemli bir süre durdurabileceği görülmektedir. Saldırı ile bilgisayarın ana önyükleme kaydı (MBR) ve ana dosya tablosunu (MFT) şifreleyerek 300 dolarlık fidye talebinde bulunuldu. Zararlı yazılıma maruz kalan birçok şirket tarafından fidye ödeyerek sorunu çözmek bir seçenek gibi gözükebilir ancak bu bir çözüm değildir. Ödeme doğrulama ve şifre çözme anahtarı paylaşımı için kullanılan e-posta servisi, posteo.de tarafından kapatılmıştır. İstenilen şifre kırma anahtarı için bir karşılık alınamayacak ve yapılan işlemler yetersiz kalacaktır. Petya zararlısının benzersiz özelliklerinden biri ise sistem çevrimdışı-pasif olsa bile çalışmaya devam etmektedir. C&C komuta kontrol sunucusuna bağlantı gerektirmeyen Petya, WannaCry’in yayılmasına sebep olan Shadow Brokers exploitlerinden EternalBlue kullanılarak Microsoft Windows SMB protokolü üzerinden dağıtılmaktadır.

WannaCry ve Petya zararlılarının belli başlıklar altında karşılaştırılırsa:

Tablo: WannaCry ve Petya Zararlılarının Karşılaştırılması [1]


27 Haziran günü gerçekleşen Petya saldırısının yapı taşları;

SMB Wormholes

Petya zararlısı bulaştırılmak istenilen makineler, TCP protokolüne dayalı 445 nolu port numarasına sahip olan ve güncel sunucu ileti bloğu (SMB) kullanmayan makineler hedef olarak belirlendi. WannaCry saldırısını gerçekleştirmek için kullanılan tarama yöntemi ile aynı yöntem kullanılarak hedef makinaları belirleme işlemi gerçekleştirildi.

EternalBlue, WMIC ve PsEXEC

IBM X-Force Olay Yanıt ve İstihbarat Hizmetleri (XF-IRIS), mevcut saldırı örrneklerinin EternalBlue Exploiti kullandığını doğruladı.  EternalBlue CVE-2017-0144 exploit kullanımı ile saldırganlar, hedef sistem üzerinde istedikleri kodu rastgele çalıştırabilme imkanını elde etti. Microsoft tarafından oluşturulan WMIC ve PsExec, sistem ve ağ yönetimine yardımcı olması için oluşturulmuştur. Saldırıda WMIC, kullanıcıların süreçleri ve komut dosyalarını çalıştırmasına izin verirken, PsExec kullanıcının bir sistemi uzaktan kontrol etmesine imkan sağlayarak saldırıda aktif rol almıştır.

Nyetya, PsExec ve WMI aracılığı ile sistemlere yayılmak için kullanıcı kimlik bilgilerine ihtiyaç duyar. Bunu üç farkllı yöntem kullanarak gerçekleştirirler. Bunlar;

1. Kimlik bilgileri manuel olarak bir komut satırı argümanı aracılığı ile aktarılabilir. Söz dizimi:

rundll32.exe C:\Windows\perfc.dat,#1 60 "username:password"


2. CredEnumerateW Windows API’si kullanılabilir.


3. Son olarak, Perfc.dat dosyasının kaynak kodları arasında sıkıştırılmış üç farklı dosya yer almaktadır. Üçüncü dosya PsExec iken ilk iki dosya 32 ve 64 bit çalıştırılabilir dosyalardır. İlk iki dosya kullanıcı bilgilerini kurtarmak için kullanılır ve TEMP klasöründe yer alan geçici dosyalardır.

C:\WINDOWS\TEMP\561D.tmp, \\.\pipe\{C1F0BF2D-8C17-4550-AF5A-65A22C61739C} 

Kurtarılan kimlik bilgileri WMIC ve PsExec kullanarak uzaktaki sistemde kötü amaçlı yazılımların başlatılmasına imkan sunar. Petya zararlı yazılımı için herhangi bir e-posta ya da office belgesi kullanımına rastlanılmamıştır. Saldırının gerçekleşmesini sağlayan ilk vektör gizemini korumaya devam etmekle beraber, Ukrayna asıllı MeDoc şirketinin kullanmış olduğu bir vergi muhasebesi programının yazılım güncellemesi ile bulaştığı düşünülmektedir. Petya, bulaşmış olduğu cihaz üzerinden farklı cihazlara yayılmaya devam etmek için aşağıda belirtilen mekanizmalara sahiptir:
  • EternalBlue: WannaCry ile aynı kullanılan exploittir.
  • EternalRomance: “ShadowBrokers” tarafından sızıdırılan SMMBv1 exploitidir.
  • PaExec: Windows uzaktan yönetim aracıdır.
  • WMI: windows yönetim aracıdır.
Bu mekanizmalar perfc.dat’ın diğer cihazlara kurulum ve çalıştırılması için kullanılır. Bu durumla karşılaşmamak için MS17-010 kullanmaya özen gösterilmelidir.

Petya, Windows API AdjustTokenPrivileges aracılığıyla yönetici yetkileri (SeShutdowPrivilege ve SeDebugPrivilege) elde etmeye çalışır. İşlem başarı ile gerçekleşir ise, Petya kopyasını kaybetmeden PhysicalDrice0’da yer alan önyükleme kısmına yazılımı yazar. İşlem başarılı olmazsa veya sistemde yer alan 2E214B44 nolu işlem dosyası keşfedilirse diskin ilk on sektörü silinir. Kaspersky Anti-virüsü tarafından avp.exe olarak tespit edilen Petya zararlısı, bulaşmış olduğu sistemler yeniden başlatıldığı takdirde aşağıda yer alan ekran görüntüsüne sahip olacaktır.


Petya, önyükleme işleminde başarılı olduğuna bakmaksızın kendisini, C:\Windows\ dizinine kopyalar
ve C:\Windows\dllhost.dat dizinine bir PE dosyası yükler. Yeniden başlatmak için schtasks kullanarak sistemi bir saat sonrası için zamanlar. Uzmanlara, Petya saldırısı mali aksaklıklar oluşturmamak için aksamalara neden olacak şekilde tasarlandığını düşünmektedirler. Aynı zamanda zararlı; sistem üzerindeki hakimiyetini artırmak için Setup, Sistem, Güvenlik ve Uygulama loglarını silmek amacıyla wevtutil.exe’yi kullanır. 

Aşağıda belirtilen SNORT kuralları bu tehtidi saptamaktadır:

42944-OS-WINDOWS Microsoft Windows SMB uzaktan kod yürütme işlemi
42340-OS-WINDOWS Microsoft Windows SMB IPC oturum paylaşım erişimi
41984-OS-WINDOWS Microsoft Windows SMBv1’e özdeş MID ve FID türü karışıklık işlemleri

Aşağıda belirtilen SNORT kuralları zararlının bulaşmış olduğu trafik göstergeleridir:

5818-OS-WINDOWS Microsoft Windows SMB-DS Trans Unicode Max Param/Count OS-WINDOWS denemesi
1917-INDICATOR-SCAN UPnP hizmet keşfetme işlemi
5730-OS-WINDOWS Microsoft Windows SMB-DS Trans Unicode Max Param OS-WINDOWS denemesi
26385-FILE-EXECUTABLE Microsoft Windows çalıştırılabilir SMB paylaşım kaydı
43370-NETBIOS DCERPC uzaktan işlem başlatma WMI

Petya Zararlı Yazılımına Karşı Alınacak Önlemler:

Sistemin ve anti-virüs programının en son güncellemelere sahip olduğunu (MS17-010) Tüm kritik sistemlerin ve ağların etkin bir şekilde izlenmesi sağlanmalıdır. Event alarm ve acil durum planları gözden geçirilmelidir. WMI ve PSEXEC yoluyla yan hareketi durdurmak için ADMIN $ 'yi GPO ile engellenmelidir. Ağ üzerinde harici erişimleri engellemek için kullanıcı kimlik bilgileri kontrol edilmelidir. Yedekleme sisteminin etkin bir şekilde oluşturulduğu kontrol edilmelidir. Petya'nın yanal hareketini önlemek için yamalı sistemler ayrılmalı ve kontrol edilmelidir.


Büşra ÖZTÜRK
Software Support Engineer 

Yorumlar

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

ARP Poisoning ile Browser Exploitation - MITMf + BeEF + Metasploit