Petya Ransomware, #NotPet



27 Haziran 2017 tarihinde tekrar ortaya çıkan Petya ransomware zararlısı, 2016 yılından günümüze kadar PetrWrap, GoldenEye ve Nyetya gibi farklı isimlerle adından söz ettirmeye başladı.  65 ülkede 12.000 cihazın kullanımıyla oluşan siber saldırı için NATO, saldırının arkasında devlet faktörü olduğunu söyledi. Kaspersky Lab, en çok Rusya ve Ukrayna’da olmak üzere en az 2.000 hedefin etkilendiğini belirtti. Saldırıların, Almanya, İngiltere ve Çin de dahil olmak üzere birçok ülkeye de bulaştığı tahmin edilmektedir. Zararlının yapısı incelendiğinde, bir üretim tesisinin operasyonunu önemli bir süre durdurabileceği görülmektedir. Saldırı ile bilgisayarın ana önyükleme kaydı (MBR) ve ana dosya tablosunu (MFT) şifreleyerek 300 dolarlık fidye talebinde bulunuldu. Zararlı yazılıma maruz kalan birçok şirket tarafından fidye ödeyerek sorunu çözmek bir seçenek gibi gözükebilir ancak bu bir çözüm değildir. Ödeme doğrulama ve şifre çözme anahtarı paylaşımı için kullanılan e-posta servisi, posteo.de tarafından kapatılmıştır. İstenilen şifre kırma anahtarı için bir karşılık alınamayacak ve yapılan işlemler yetersiz kalacaktır. Petya zararlısının benzersiz özelliklerinden biri ise sistem çevrimdışı-pasif olsa bile çalışmaya devam etmektedir. C&C komuta kontrol sunucusuna bağlantı gerektirmeyen Petya, WannaCry’in yayılmasına sebep olan Shadow Brokers exploitlerinden EternalBlue kullanılarak Microsoft Windows SMB protokolü üzerinden dağıtılmaktadır.

WannaCry ve Petya zararlılarının belli başlıklar altında karşılaştırılırsa:

Tablo: WannaCry ve Petya Zararlılarının Karşılaştırılması [1]


27 Haziran günü gerçekleşen Petya saldırısının yapı taşları;

SMB Wormholes

Petya zararlısı bulaştırılmak istenilen makineler, TCP protokolüne dayalı 445 nolu port numarasına sahip olan ve güncel sunucu ileti bloğu (SMB) kullanmayan makineler hedef olarak belirlendi. WannaCry saldırısını gerçekleştirmek için kullanılan tarama yöntemi ile aynı yöntem kullanılarak hedef makinaları belirleme işlemi gerçekleştirildi.

EternalBlue, WMIC ve PsEXEC

IBM X-Force Olay Yanıt ve İstihbarat Hizmetleri (XF-IRIS), mevcut saldırı örrneklerinin EternalBlue Exploiti kullandığını doğruladı.  EternalBlue CVE-2017-0144 exploit kullanımı ile saldırganlar, hedef sistem üzerinde istedikleri kodu rastgele çalıştırabilme imkanını elde etti. Microsoft tarafından oluşturulan WMIC ve PsExec, sistem ve ağ yönetimine yardımcı olması için oluşturulmuştur. Saldırıda WMIC, kullanıcıların süreçleri ve komut dosyalarını çalıştırmasına izin verirken, PsExec kullanıcının bir sistemi uzaktan kontrol etmesine imkan sağlayarak saldırıda aktif rol almıştır.

Nyetya, PsExec ve WMI aracılığı ile sistemlere yayılmak için kullanıcı kimlik bilgilerine ihtiyaç duyar. Bunu üç farkllı yöntem kullanarak gerçekleştirirler. Bunlar;

1. Kimlik bilgileri manuel olarak bir komut satırı argümanı aracılığı ile aktarılabilir. Söz dizimi:

rundll32.exe C:\Windows\perfc.dat,#1 60 "username:password"


2. CredEnumerateW Windows API’si kullanılabilir.


3. Son olarak, Perfc.dat dosyasının kaynak kodları arasında sıkıştırılmış üç farklı dosya yer almaktadır. Üçüncü dosya PsExec iken ilk iki dosya 32 ve 64 bit çalıştırılabilir dosyalardır. İlk iki dosya kullanıcı bilgilerini kurtarmak için kullanılır ve TEMP klasöründe yer alan geçici dosyalardır.

C:\WINDOWS\TEMP\561D.tmp, \\.\pipe\{C1F0BF2D-8C17-4550-AF5A-65A22C61739C} 

Kurtarılan kimlik bilgileri WMIC ve PsExec kullanarak uzaktaki sistemde kötü amaçlı yazılımların başlatılmasına imkan sunar. Petya zararlı yazılımı için herhangi bir e-posta ya da office belgesi kullanımına rastlanılmamıştır. Saldırının gerçekleşmesini sağlayan ilk vektör gizemini korumaya devam etmekle beraber, Ukrayna asıllı MeDoc şirketinin kullanmış olduğu bir vergi muhasebesi programının yazılım güncellemesi ile bulaştığı düşünülmektedir. Petya, bulaşmış olduğu cihaz üzerinden farklı cihazlara yayılmaya devam etmek için aşağıda belirtilen mekanizmalara sahiptir:
  • EternalBlue: WannaCry ile aynı kullanılan exploittir.
  • EternalRomance: “ShadowBrokers” tarafından sızıdırılan SMMBv1 exploitidir.
  • PaExec: Windows uzaktan yönetim aracıdır.
  • WMI: windows yönetim aracıdır.
Bu mekanizmalar perfc.dat’ın diğer cihazlara kurulum ve çalıştırılması için kullanılır. Bu durumla karşılaşmamak için MS17-010 kullanmaya özen gösterilmelidir.

Petya, Windows API AdjustTokenPrivileges aracılığıyla yönetici yetkileri (SeShutdowPrivilege ve SeDebugPrivilege) elde etmeye çalışır. İşlem başarı ile gerçekleşir ise, Petya kopyasını kaybetmeden PhysicalDrice0’da yer alan önyükleme kısmına yazılımı yazar. İşlem başarılı olmazsa veya sistemde yer alan 2E214B44 nolu işlem dosyası keşfedilirse diskin ilk on sektörü silinir. Kaspersky Anti-virüsü tarafından avp.exe olarak tespit edilen Petya zararlısı, bulaşmış olduğu sistemler yeniden başlatıldığı takdirde aşağıda yer alan ekran görüntüsüne sahip olacaktır.


Petya, önyükleme işleminde başarılı olduğuna bakmaksızın kendisini, C:\Windows\ dizinine kopyalar
ve C:\Windows\dllhost.dat dizinine bir PE dosyası yükler. Yeniden başlatmak için schtasks kullanarak sistemi bir saat sonrası için zamanlar. Uzmanlara, Petya saldırısı mali aksaklıklar oluşturmamak için aksamalara neden olacak şekilde tasarlandığını düşünmektedirler. Aynı zamanda zararlı; sistem üzerindeki hakimiyetini artırmak için Setup, Sistem, Güvenlik ve Uygulama loglarını silmek amacıyla wevtutil.exe’yi kullanır. 

Aşağıda belirtilen SNORT kuralları bu tehtidi saptamaktadır:

42944-OS-WINDOWS Microsoft Windows SMB uzaktan kod yürütme işlemi
42340-OS-WINDOWS Microsoft Windows SMB IPC oturum paylaşım erişimi
41984-OS-WINDOWS Microsoft Windows SMBv1’e özdeş MID ve FID türü karışıklık işlemleri

Aşağıda belirtilen SNORT kuralları zararlının bulaşmış olduğu trafik göstergeleridir:

5818-OS-WINDOWS Microsoft Windows SMB-DS Trans Unicode Max Param/Count OS-WINDOWS denemesi
1917-INDICATOR-SCAN UPnP hizmet keşfetme işlemi
5730-OS-WINDOWS Microsoft Windows SMB-DS Trans Unicode Max Param OS-WINDOWS denemesi
26385-FILE-EXECUTABLE Microsoft Windows çalıştırılabilir SMB paylaşım kaydı
43370-NETBIOS DCERPC uzaktan işlem başlatma WMI

Petya Zararlı Yazılımına Karşı Alınacak Önlemler:

Sistemin ve anti-virüs programının en son güncellemelere sahip olduğunu (MS17-010) Tüm kritik sistemlerin ve ağların etkin bir şekilde izlenmesi sağlanmalıdır. Event alarm ve acil durum planları gözden geçirilmelidir. WMI ve PSEXEC yoluyla yan hareketi durdurmak için ADMIN $ 'yi GPO ile engellenmelidir. Ağ üzerinde harici erişimleri engellemek için kullanıcı kimlik bilgileri kontrol edilmelidir. Yedekleme sisteminin etkin bir şekilde oluşturulduğu kontrol edilmelidir. Petya'nın yanal hareketini önlemek için yamalı sistemler ayrılmalı ve kontrol edilmelidir.


Büşra ÖZTÜRK
Software Support Engineer 

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

1. Geleneksel Stajyer CTF Soru ve Cevapları

Resim
İlkini 26 Mayıs - 1 Haziran 2016 tarihleri arasında gerçekleştirmiş olduğumuz ve bundan sonraki stajyer alım süreçlerinde de devamlı gerçekleştirmeyi düşündüğümüz CTF (Capture The Flag) yarışmamızda sorulan sorular ve çözümleri için izlenebilecek adımlar aşağıda verilmiştir. 1. Verilen soruda "Her görünenin ardında gizli bir şeyler vardır." ile olayın sadece bir resimden ibaret olmadığı ve bir şeylerin gizlendiği/gizlenebileceği anlatılmaya çalışılmıştır. Burada da ilk olarak data gizleme/saklama bilimi olan Steganografi'nin akıllara gelmesi gerekmekteydi. Steganografi ile ilgili ayrıntılı bilgi için bkz . Resim dosyalarına farklı yöntemler ile data saklanabilmektedir. Popüler olarak kullanılan Steghide aracıyla, graph-theoretic yaklaşımıyla veri saklama işlemi yapılabilir. Soruda verilen resim aşağıdaki gibidir. Steghide ile resim içerisindeki datayı çıkartmayı denediğimiz zaman parola soracaktır. Brute force ile doğru parolayı bulmanız gerekmekte,
Devamını okuyun

B*-Tree (BTree, BPlusTree) Veri Yapısı ile Veri İndeksleme

Resim
Veri indeksleme Veri asıl kaynağına yazılırken bir format takip edilir. Bu formata göre, bazı sorgulamaların yapılması çok zaman almaktadır. Bazen tüm verinin taranması gerekebilir. Veriye erişimi hızlandırmak için, asıl veriye ek olarak, farklı biçimlerde tekrar bilgi yazılması gerekmektedir. Farklı biçimlerde verinin tekrar yazılması işlemi "indeksleme" olarak adlandırılmaktadır. İndeksleme yaklaşımında, indekslenecek anahtar veri ve asıl veriye referans bulunmaktadır. ( <Key,Pointer> ) Asıl veri değiştiğinde, indeks verilerinin de güncellenmesi gerekir. Bu yazımızda; önemli indeksleme tekniklerinden olan BTree ve BPlusTree veri yapılarının özellikleri hakkında bilgi verilecektir. BPlusTree, ilişkisel veritabanlarında en çok kullanılan ağaç veri yapısıdır. BTree Veri yapısı BTree, ağaç şeklinde dinamik bir veri yapısıdır. Nodlar ve nod içindeki sıralı elemanlardan oluşur. Kök noddan başlayarak; her bir elemanın küçük değerleri, sola doğru, büyük değerleri is
Devamını okuyun

2. Geleneksel Stajyer CTF Soru ve Cevapları - 2017

Resim
2. si düzenlenen CRYPTTECH Stajyer CTF'inde sorulan soruların çözümlerinden önce yarışma içeriğine dair birkaç istatistik ile başlangıcı yapalım. CTF ‘17’de sorduğumuz soruların genel görüntüsü aşağıdaki gibidir. Flag formatıyla beraber toplamda 16 soru sorulmuştur. 75 kayıtlı kullanıcının olduğu CTF’te aktif 42 katılım olmuştur. Sorulara göz attıktan sonra korkup kaçanların sayısını bilemiyoruz. 2000 ’e yakın cevabın girildiği sistemde; 213 doğru cevap, 1682 yanlış cevap girilmiştir.   Sorulara verilen cevapların dağılımı aşağıdaki gibi olmuştur; CEVAPLAR Soru 1: Başlangıç olarak sonraki sorularda verilecek cevapların formatının nasıl olması gerektiğini belirten format üzerine kurulu bir sorumuz vardı; Bu soruya inatla yanlış cevaplar veren ve cevap soruda yazmasına rağmen ipucu isteyip 7 puanını kaptıran arkadaşlara selam olsun. Cevap 1: CT_{flag} Soru 2: Sorudan anlaşılması beklenen, verilen klasördeki 66 resim içerisinden aynı hash (heş) değerine s
Devamını okuyun