Petya/NonPetya malware

“Petya uses the NSA Eternalblue exploit but also spreads in internal networks with WMIC and PSEXEC. That’s why patched systems can get hit.” Mikko Hypponen, Chief Research Officer, F-Secure

Speravamo di aver lasciato WannaCry alle spalle, aggiornando tutti i sistemi con le ultime patches rilasciate da Microsoft per tappare la “falla” della vulnerabilità EternalBlue, servizio SMB di MS Windows.

Improvvisamente, in questo caldo Giugno 2017, un nuovo massiccio attacco informatico ha paralizzato mezza Ucraina e sta diffondendosi velocemente nel resto del mondo utilizzando non solo i sistemi non patchati ma, sfruttando un’altra vulnerabilità del sistema operativo MS Windows che permette di acquisire le password in memoria, anche sulle macchine patchate nella medesima rete.

Difficile seguire le notizie che si susseguono ma, a quanto risulta dalle analisi del codice già divulgate dai siti specializzati, compreso il nostrano cert-pa, si tratta di un malware già utilizzato in passato (Petya) ma modificato per utilizzare l’exploit EternalBlue (il medesimo sfruttato da WannaCry, MS17-010) e una ulteriore vulnerabilità di attacco remota chiamata “Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API” (CVE-2017-0199). A quanto pare, inoltre, è in giro una versione che utilizza il tool mimikatz/LSA Dump per recuperare le credenziali del Security Account Managers (SAM) database ed utilizzarle per connettersi e diffondersi ai sistemi nella stessa rete.

Petya, che secondo TheHackersNews è un “destructive wiper malware”, sovrascrive il MBR (Master Boot Record) con il suo codice e cifra la master file table (MFT), rendendo di fatto quasi impossibile un eventuale recupero dei file. Alcuni specialisti suggeriscono che non appena il sistema infettato effettua il reboot (e questo avviene dopo circa 1 ora dal contagio), è importante spegnere il PC per impedire al codice del malware di danneggiare la MFT: utilizzando una live CD sarà possibile ripristinare l’MBR e recuperare i dati.

Maggiori e più dettagliate informazioni tecniche sul malware sono disponibili a questo repository GitHub.

La lezione che ancora una volta si ricava da attacchi di questo tipo è sempre la solita: mantenere i sistemi informatici aggiornati. 

Anche questo malware, infatti, sfrutta due gravi vulnerabilità di cui sono già disponibili le patch da qualche mese:

  • CVE-2017-0144 – Microsoft CVE-2017-0144: Windows SMB Remote Code Execution Vulnerability
  • CVE-2017-0199 – Microsoft CVE-2017-0199: Microsoft Office OLE Arbitrary Code Execution Vulnerability

e grazie ad una analisi dettagliata del team di cybersecurity Fox-IT, il malware utilizzando questa procedura:

  1. Tries to find credentials:
    • Method 1: Uses a custom tool to extract credentials from memory (code similarities with MimiKatz and accesses Windows LSASS process)
    • Method 2: Steals credentials from the credential store on the infected systems
  2. Makes an inventory of the local network for other machines. If found, it checks whether port 139 or 445 is open
  3. Checks via WebDAV whether the enumerated systems have already been infected. If this is not the case, it will transfer the malware to the other systems via SMB;
  4. Utilizes PSEXEC or WMI tools, to remotely execute the malware.

E’ quindi necessario non solo aggiornare i sistemi con le ultime patch di sicurezza disponibili ma anche verificare che non vi siano account privilegiati locali che potrebbero aiutare il malware Petya/NonPetya a diffondersi anche su sistemi patchati. In particolare, laddove non sia necessaria la condivisione di file, è bene disattivare il servizio SMB (e verificare che le porte 445 e 138 non siano aperte).

 

 

Michele Pinassi

Blogger, appassionato di tecnologia, società e politica. Attualmente Responsabile del Sistema telefonico di Ateneo presso l'Università degli Studi di Siena ed esperto di sicurezza informatica nello staff del DPO. Utilizza quasi esclusivamente software libero.

Potrebbero interessarti anche...

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: