События

Представлен анализ атаки с использованием NotPetya

Представлен анализ атаки с использованием NotPetya

Исследователь безопасности Антон Черепанов из ESET представил подробности об изначальном векторе атаки NotPetya (Petya.A, ExPetr), накрывшей Украину 27 июня текущего года. Согласно заявлениям правоохранительных органов Украины и экспертов ESET, вредонос попал на системы жертв с зараженными бэкдором обновлениями бухгалтерского ПО «M.e.doc». Поначалу разработчик программы, «Интеллект-сервис», отрицал причастность к атакам, однако затем признал наличие бэкдора в своем продукте.

Во время исследования специалисты ESET обнаружили в одном из легитимных модулей «M.e.doc» весьма незаметный хитроумный бэкдор. По мнению Черепанова, маловероятно, что внедрить его мог кто-то без доступа к исходному коду программы. Речь идет о модуле с именем файла ZvitPublishedObjects.dll, написанном с помощью .NET Framework. Файл размером 5 МБ содержит большой объем легитимного кода, вызываемого различными компонентами, в том числе исполняемым файлом ezvit.exe.

Исследователи проанализировали обновления для «M.e.doc» за 2017 год и обнаружили по крайней мере три, содержащие бэкдор (за 14 апреля, 15 мая и 22 июня). Спустя три дня после выхода майского обновления были зафиксированы атаки с использованием вымогательского ПО XData, а через пять дней после релиза июньского обновления Украину атаковал NotPetya.

Обновление за 15 мая содержало бэкдор, однако 17 мая был выпущен еще один апдейт, уже без бэкдора. Дело в том, что второе обновление стало неожиданностью для хакеров. Они запустили вымогательское ПО 18 мая, однако большинство пользователей уже установили патч за 17 мая, поэтому XData заразил лишь малое число систем.

Все украинские предприятия и организации имеют уникальный идентификационный код юридического лица. С его помощью хакеры могли определить каждую компанию, использующую версию «M.e.doc» с бэкдором. Имея доступ к их сетям, злоумышленники могут предпринимать различные действия в зависимости от поставленных целей.

Помимо идентификационного номера, через «M.e.doc» бэкдор собирает с зараженной системы такие данные, как настройки прокси-серверов и электронной почты, в том числе имена пользователей и пароли. Вредонос записывает их в реестр Windows как HKEY_CURRENT_USERSOFTWAREWC со значениями имени Cred и Prx.

Примечательно, бэкдор не подключается ни к каким внешним C&C-серверам. Вредонос использует регулярные запросы «M.e.doc» к официальному серверу производителя на наличие доступных обновлений. Похищенные данные передаются на сервер в виде файлов cookie. Исследователи ESET не проводили экспертизу серверов, однако, по их мнению, они были взломаны. Эту информацию также подтвердило руководство «Интеллект-сервиса».

Источник

Автор: Сергей Куприянов
6.07.2017 (11:53)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.