ALERTE : Campagne de rançongiciels de type Petya (27.06.17)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE : Campagne de rançongiciels de type Petya (27.06.17)

Messagede pierre » 27 06 2017

ALERTE : Campagne de rançongiciels de type Petya (27 juin 2017)

Version initiale de l'alerte
27 juin 2017

Source
CERT FR

1 - Risque(s)
Installation et propagation d'un logiciel malveillant de type rançongiciel, voire, à terme, d'autres logiciels malveillants.

2 - Vecteurs d'infection
Vecteur d'infection initial inconnu à cette date (27 juin 2017 à 16h30).

3 - Systèmes affectés
Le périmètre des systèmes infectés n'est pas connu. Cependant les serveurs ainsi que les postes de travail semblent touchés.

4 - Résumé
Le CERT-FR constate un nouveau mode de propagation du rançongiciel Petya. Le CERT-FR ne dispose pas de plus d'information à cette date (27 juin 2017 à 16h30).

Suite aux premiers retours, il est possible que le code malveillant se propage via le réseau. En cas d'infection, la machine redémarre et affiche un message demandant un paiement équivalent à 300 dollars en bitcoins et de contacter l'adresse électronique wowsmith123456@posteo.net.

Des informations complémentaires seront ajoutées à la présente page.

5 - Contournement provisoire

Recommandations :
l'application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010 (cf. section Documentation); Cette mise à jour de sécurité réagissait contre la faille qui a permis les attaques du ransomware WanaCrypt (ou WanaCrypt0r) exploitant les vulnérabilités MS17-010 (le 12 mai 2017) ( voir http://assiste.forum.free.fr/viewtopic.php?f=173&t=31988 )
le respect des recommandations génériques relatives aux Ransomwares et leurs variantes les Cryptowares (cf. section Documentation);
de limiter l'exposition du service SMB, en particulier sur internet ;
de ne pas payer la rançon (ce qui encouragerait les cybercriminels).
de toujours avoir plusieurs sauvegardes (avant l'attaque) et ne jamais brancher une unité de sauvegarde sur une machine infectée sinon tous les fichiers de sauvegarde seraient immédiatement affecté par l'attaque

Prévention
De manière préventive, s'il n'est pas possible de mettre à jour une machine, il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.

La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs.

6 - Mesures réactives
Si le code malveillant est découvert sur une machine, déconnectez immédiatement la machine du réseau (déconnectez toutes les machines identifiées comme compromises), sans toutefois les éteindre. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés (se trouvant sur d'autres machines que les machines compromises).

Il tombe sous le sens d'alerter immédiatement le responsable sécurité ou le service informatique.

Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés totalement autres que les unités de sauvegardes courantes. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Le bulletin d'actualité CERTFR-2015-ACT-004 précise de manière plus complète les mesures à appliquer (cf. section Documentation).

7 - Documentation
Désactivation de SMBv1

http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html
https://aka.ms/disablesmb1

Autres

http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html
https://technet.microsoft.com/fr-fr/lib ... y/MS17-010
Avatar de l’utilisateur
pierre
 
Messages: 21937
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: ALERTE : Campagne de rançongiciels de type Petya (27.06.

Messagede pierre » 28 06 2017

Mise à jour de l'alerte :

Version initiale de l'alerte
27.06.2017
Révision
27.06.2017 - Mise à jour
28.06.2017 - mise à jour des informations sur le vecteur initial d'infection, ajout de marqueurs, modification des éléments limitant la propagation.

1 - Risque(s)
Installation et propagation d'un logiciel malveillant de type rançongiciel, voire, à terme, d'autres logiciels malveillants.

2 - Vecteurs d'infection
L'ANSSI ne dispose pas à cette heure de preuves suffisantes permettant de définir de façon certaine le vecteur initial d'infection.
Le vecteur d'infection initial pourrait utiliser des méthodes d'hameçonnage exploitant la vulnérabilité CVE-2017-0199. Dans ce cas, un fichier de type rtf est en pièce jointe du courriel. Une fois ouvert, ce fichier télécharge un document Excel qui à son tour récupère le logiciel malveillant. Microsoft indique que le logiciel de paiement de taxe MEDoc pourrait être un des vecteurs initial d'infection via une mise à jour automatique. Lors de son installation, le rançongiciel vérifie la présence du fichier C:\Windows\perfc avant de continuer son éxecution. Des droits élevés permettent au rançongiciel de voler les mots de passe locaux soit en utilisant un outil de type Mimikatz en version 32 et 64 bits, soit en faisant appel à l'API CredEnumerateW. Le rançongiciel dispose de plusieurs capacité pour se propager sur le réseau:

en utilisant les identifiants récupérés sur la machine ;
en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010).

Après propagation, le maliciel force un redémarrage de la machine via une tâche planifiée. Un message est alors affiché indiquant qu'une vérification de l'intégrité des disques est en cours. Le rançongiciel serait en fait en train de chiffrer la MFT (Master File Table). Il s'agit d'un index des fichiers et répertoires présents sur le disque. Cela à pour conséquence de rendre inaccessible les fichiers présents sur la machine. Enfin, le maliciel s'installerait à la place du secteur de démarrage de Windows afin d'afficher le message de rançon.

3 - Systèmes affectés
Toutes les versions de Windows semblent pouvoir être affectées dans la mesure où des outils d'administration classiques sont utilisés pour la latéralisation. Les serveurs ainsi que les postes de travail font donc partis du périmètre d'infection possible.

4 - Résumé
Le CERT-FR constate une recrudescence d'activité de rançongiciel possédant une forte capacité de réplication. En particulier, plusieurs échantillons possèdent la capacité de se propager en utilisant aussi bien des codes d'exploitation du protocole SMB que des identifiants légitimes volés sur la machine compromise (à l'aide de PSExec et du protocole WMI).

Cette capacité de propagation multiple rends potentiellement vulnérable certains réseaux qui, malgré l'application de mise à jour, ne restreignent pas la latéralisation et l'abus d'identifiants.

Des informations complémentaires seront ajoutées à la présente page.

5 - Contournement provisoire
Recommandations

Le CERT-FR recommande :

l'application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010 (cf. section Documentation) ;
le respect des recommandations génériques relatives aux rançongiciels : http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html ;
de limiter l'exposition du service SMB, en particulier sur internet ;
respecter le principe de moindre privilège pour les utilisateurs, afin de limiter l'élévation de privilèges et la propagation latérale de l'attaquant;
de ne pas payer la rançon.

En outre, les mesures suivantes permettraient de limiter la propagation des souches aujourd'hui identifiées:

empêcher l'exécution de PSExec sur les machines ;
empêcher la création de processus à distance par WMI;
empêcher l'exécution de C:\Windows\perfc.dat ;
créer un fichier vide C:\Windows\perfc ;

Prévention

De manière préventive, s'il n'est pas possible de mettre à jour une machine, il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.

La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs.
Détection

Les règles Yara suivantes sont fournies afin de permettre la détection d'un logiciel malveillant relatif à la campagne en cours.

rule MS17_010_RANSOMWARE_perfc_xor_strings {

author = "ANSSI"
version = "1.0"
description = "Rule to detect MS17_010 ransomware"

strings:
// PC NETWORK PROGRAM 1.0 xor 0x72
$a = {70 22 31 52 3C 37 26 25 3D 20 39 52 22 20 3D 35 20 33 3F 52 43 5C 42
72 70 3E 33 3C 3F 33 3C 43 5C 42 72 70 25 1B 1C 16 1D 05 01 52 14}

// \\123.12.31.2\IPC$ xor 0x75
$b = {75 29 75 29 75 44 75 47 75 46 75 5B 75 44 75 47 75 5B 75 46 75 44 75
5B 75 47 75 29 75 3C 75 25 75 36 75 51 75 75 75 4A 4A 4A 4A 4A 75}

// payload1 shellcode entrypoint xor 0x64
$c = {2C ED 84 02 E7 80 94 25 33 25 32 25 31 25 30 37 35 36 31 33 32 34 34
8C D8 62 64 64 2C ED}

condition:
1 of them
}

rule MS17_010_RANSOMWARE_Kaspersky_PetrWrap {
meta:
copyright = "Kaspersky Lab"
description = "Rule to detect PetrWrap ransomware samples"
last_modified = "2017-06-27"
author = "Kaspersky Lab"
hash = "71B6A493388E7D0B40C83CE903BC6B04"
version = "1.0"

strings:
$a1 = "MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXE
jfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2Dt
X4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITD
bDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu" fullword
wide
$a2 = ".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.
djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.
php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.
vmdk.vmsd.vmx.vsdx.vsv.work.xls" fullword wide
$a3 = "DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED"
fullword ascii
$a4 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" fullword ascii
$a5 = "wowsmith123456@posteo.net." fullword wide

condition:
uint16(0) == 0x5A4D and
filesize < 1000000 and any of them
}

rule MS17_010_RANSOMWARE_FireEye_perfc_clear_strings {
meta:version="1.1"
//filetype="PE"
author="Ian.Ahl@fireeye.com @TekDefense, Nicholas.Carr@mandiant.com
@ItsReallyNick"
date="2017-06-27"
description="Probable PETYA ransomware using ETERNALBLUE, WMIC, PsExec"
strings:
// DRIVE USAGE
$dmap01 = "\\\\.\\PhysicalDrive" nocase ascii wide
$dmap02 = "\\\\.\\PhysicalDrive0" nocase ascii wide
$dmap03 = "\\\\.\\C:" nocase ascii wide
$dmap04 = "TERMSRV" nocase ascii wide
$dmap05 = "\\admin$" nocase ascii wide
$dmap06 = "GetLogicalDrives" nocase ascii wide
$dmap07 = "GetDriveTypeW" nocase ascii wide

// RANSOMNOTE
$msg01 = "WARNING: DO NOT TURN OFF YOUR PC!" nocase ascii wide
$msg02 = "IF YOU ABORT THIS PROCESS" nocase ascii wide
$msg03 = "DESTROY ALL OF YOUR DATA!" nocase ascii wide
$msg04 = "PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED" nocase ascii wide
$msg05 = "your important files are encrypted" ascii wide
$msg06 = "Your personal installation key" nocase ascii wide
$msg07 = "worth of Bitcoin to following address" nocase ascii wide
$msg08 = "CHKDSK is repairing sector" nocase ascii wide
$msg09 = "Repairing file system on " nocase ascii wide
$msg10 = "Bitcoin wallet ID" nocase ascii wide
$msg11 = "wowsmith123456@posteo.net" nocase ascii wide
$msg12 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" nocase ascii wide
$msg_pcre = /(en|de)crypt(ion|ed\.)/

// FUNCTIONALITY, APIS
$functions01 = "need dictionary" nocase ascii wide
$functions02 = "comspec" nocase ascii wide
$functions03 = "OpenProcessToken" nocase ascii wide
$functions04 = "CloseHandle" nocase ascii wide
$functions05 = "EnterCriticalSection" nocase ascii wide
$functions06 = "ExitProcess" nocase ascii wide
$functions07 = "GetCurrentProcess" nocase ascii wide
$functions08 = "GetProcAddress" nocase ascii wide
$functions09 = "LeaveCriticalSection" nocase ascii wide
$functions10 = "MultiByteToWideChar" nocase ascii wide
$functions11 = "WideCharToMultiByte" nocase ascii wide
$functions12 = "WriteFile" nocase ascii wide
$functions13 = "CoTaskMemFree" nocase ascii wide
$functions14 = "NamedPipe" nocase ascii wide
$functions15 = "Sleep" nocase ascii wide // imported, not in strings

// COMMANDS
// -- Clearing event logs & USNJrnl
$cmd01 = "wevtutil cl Setup" ascii wide nocase
$cmd02 = "wevtutil cl System" ascii wide nocase
$cmd03 = "wevtutil cl Security" ascii wide nocase
$cmd04 = "wevtutil cl Application" ascii wide nocase
$cmd05 = "fsutil usn deletejournal" ascii wide nocase
// -- Scheduled task
$cmd06 = "schtasks " nocase ascii wide
$cmd07 = "/Create /SC " nocase ascii wide
$cmd08 = " /TN " nocase ascii wide
$cmd09 = "at %02d:%02d %ws" nocase ascii wide
$cmd10 = "shutdown.exe /r /f" nocase ascii wide
// -- Sysinternals/PsExec and WMIC
$cmd11 = "-accepteula -s" nocase ascii wide
$cmd12 = "wmic"
$cmd13 = "/node:" nocase ascii wide
$cmd14 = "process call create" nocase ascii wide

condition:
// (uint16(0) == 0x5A4D)
3 of ($dmap*)
and 2 of ($msg*)
and 9 of ($functions*)
and 7 of ($cmd*)
}

Marqueurs

Les éléments suivants sont identifiés en source ouverte comme étant de possible marqueurs de compromission.

offeinoffice.xyz
french-cooking.com
sundanders.online
yadi.sk
111.90.139.247
185.165.29.78
84.200.16.242
95.141.115.108
71b6a493388e7d0b40c83ce903bc6b04
0df7179693755b810403a972f4466afb
42b2ff216d14c2c8387c8eabfb1ab7d0
71b6a493388e7d0b40c83ce903bc6b04
e285b6ce047015943e685e6638bd837e
e595c02185d8e12be347915865270cca
3b7331b99da80dcb5a0f5c14d384b49c
3d451bcaa800833115abf90c0954ac3b
710bd936a07bd3b146bdb170c317438c
8a241cfcc23dc740e1fadc7f2df3965e
9ed3bdaeb95e1084db73f39414b4f2b9
a92f13f3a1b3b39833d3cc336301b713
af2379cc4d607a45ac44d62135fb7015
b968c302c6fd56bbf7da3cc72bb31fa6
d0a0e16f1f85db5dfac6969562923576
e068ee33b5e9cb317c1af7cecc1bacb5
f11998e3849632b67a45a7186523f682
0487382a4daf8eb9660f1c67e30f8b25
/myguy.xls
415fe69bf32634ca98fa07633f4118e1

L'ANSSI confirme que l'empreinte md5 suivante 71b6a493388e7d0b40c83ce903bc6b04 est bien un rançongiciel lié à la campagne en cours.
6 - Mesures réactives
Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises, sans toutefois les éteindre. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt.

Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Le bulletin d'actualité CERTFR-2015-ACT-004 précise de manière plus complète les mesures à appliquer (cf. section Documentation).
7 - Documentation

Désactivation de SMBv1

http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html
https://aka.ms/disablesmb1

Autres

http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html
https://technet.microsoft.com/fr-fr/lib ... y/MS17-010
https://blogs.technet.microsoft.com/mmp ... abilities/
Avatar de l’utilisateur
pierre
 
Messages: 21937
Inscription: 20 05 2002
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité