Ir al contenido

Ir a la página principal

Agesic-Agencia de Gobierno Electrónico y Sociedad de la Información Presidencia de la República Oriental del Urguay
InicioNovedadesAlertas y vulnerabilidadesAspectos tecnicos sobre Petya-NotPetya
6/29/17

Aspectos técnicos sobre Petya/NotPetya

El Malware conocido como Petya o NotPetya, es un ransomware que el 27 de junio comenzó a propagarse de forma masiva. Al igual que WannaCry se esparce por la red local infectando otros equipos.

 

Descripción

El Malware conocido como Petya o NotPetya, es un ransomware que el 27 de junio comenzó a propagarse de forma masiva. Al igual que WannaCry1 se esparce por la red local infectando otros equipos, con un impacto mayor.

Una vez que el Ransomware se instala, busca propagarse por la red local. Además solcita un pago de US$300 a realizarse en la criptomoneda Bitcoin, una wallet de bitcoin a la que hacer la transferencia y un correo electrónico para contactarse con los atacantes.

Sistemas vulnerables

Sistemas operativos Windows desde XP hasta 2010.

Archivos afectados

3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mail, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pvi, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmdk, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip. 

Vulnerabilidades explotadas

  • Windows SMB Remote Code Execution Vulnerability - CVE-2017-0143
  • Windows SMB Remote Code Execution Vulnerability - CVE-2017-0144
  • Windows SMB Remote Code Execution Vulnerability - CVE-2017-0145
  • Windows SMB Remote Code Execution Vulnerability - CVE-2017-0146
  • Windows SMB Remote Code Execution Vulnerability - CVE-2017-0148
  • Windows SMB Information Disclosure Vulnerability - CVE-2017-0147
  • Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API - CVE-2017-0199

Además usa herramientas legitimas de Windows para esparcirse por la red: WMIC y PSEXEC.

Contagio y propagación

De momento no se conoce el vector de infección inicial, sin embargo se maneja la teoría de que se envía por correo electrónico un archivo de Word infectado. Al abrir el archivo de Word se comienza una descarga del Ransomware. Se presume que algunas de las IPs de descarga del malware son las siguiente2:

  • 185.165.29.78 
  • 84.200.16.242 
  • 111.90.139.247 
  • 95.141.115.108

Petya utiliza la herrmaienta similar a Mimikatz para encontrar contraseñas de usuario en la memoria de los equipos infectados. Luego utiliza estas credenciales para intentar expandirse por la red3.

Luego utiliza las herramientas de explotación ETERNALBLUE y ETERNALROMANCE para propagarse en equipos que no hayan aplicado los parches de seguridad indicados en el MS17-010.

Petya utiliza las funcionalidades legitimas de Windows PsExec y Windows Management Information Command-line (WMIC) para expandirse por la red local.

Una vez que Petya es descargado colocará una copia de PsExec bajo el nombre de dllhost.dat en el equipo infectado. Además dejará una copia del ransomware en \\{Nombre_equipo_remoto}\admin$\{nombre_archivo_malware} que se ejecutará posteriormente utilizando dllhost.dat de la siguiente forma3:

dllhost.dat \\{remote machine name} -accepteula -s -d C:\Windows\System32\rundll32 “C:\Windows\{malware filename}”,#1 {random number minimum 10} {enumerated credentials}

En caso de que esto no funicone, Petya intentará usar WMIC para ejecutar el archive remotamente3:

%System%\wbem\wmic.exe /node:”{node}” /user:”{user name}” /password:”{password}” process call create “C:\Windows\System32\rundll32 \”C:\Windows\{malware filename}\” #1 {random number minimum 10} {enumerated credentials}”

A diferencia de WannaCry, NotPetya se propaga por la red local y no por Internet4.

Medidas preventivas

  • Aplicar los parches de seguridad adecuados567.
  • En caso de contar con equipos que no dispongan de parches de seguridad aislarlos de los demás.
  • Bloquear las comunicaciones de los puertos 137/UDP y 138/UDP, 139/TCP 445/TCP.
  • Utilizar Applocker para bloquear la ejecución de cualquier archivo con nombre "perfc.dat".
  • Realizar respaldos de la información en dispositivos externos que no estén conectados a la red. 
  • Mantener los equipos con las últimas actualizaciones, tanto del sistema operativo como de los programas instalados.
  • Mantener actualizado el antivirus en los equipos.
  • Evitar abrir archivos recibidos por correo electrónico de remitentes desconocidos. 
  • Evitar instalar aplicaciones o programas de fuentes no oficiales. 

Recuperación

En caso de detectar equipos infectados en la red:

  1. Desconectarlos de la red (tanto cableada como inalámbrica).
  2. Monitorear el resto de los sistemas.
  3. Notificar al CERTuy.

De momento no existen herramientas para descifrar los datos alterados por NotPetya. Esto se debe a que NotPetya usa un esquema de cifrado robusto8:

  • Para todos los archivos usa una clave AES-128.
  • Esta clave es encriptada con una clave publica RSA-2048 del atacante.
  • Las claves AES encriptadas son guardadas en un archivo llamado README.
  • Las claves son generadas de forma segura.

De todas formas es conveniente guardar una imagen de el/los discos afectados por si eventualmente se desarrolla una herramienta capaz de desencriptar los archivos.

Se puede intentar recuperar los archivos utilizando la herramienta Shadow Explorer, la cual podría funcionar si el Ransomware no borró correctamente las copias del Shadow Volume9.

En caso que el equipo haya sido apagado previo al reinicio generado por el Ransomware, se puede intentar recuperar el MBR utilizando bootrec / FixMbr.

El CERTuy desalienta el pago de cualquier Ransomware. Para éste, en particular, fue deshabilitada la cuenta de correo (wowsmith123456@posteo.net) para contactar al atacante. Por este motivo, aunque se pague el rescate, el usuario afectado  no podrá obtener la contraseña para desencriptar los archivos.

Validación de compromiso

Al infectarse con el Ransomware hay un período de 10 minutos a 1 hora en las que el usuario no percibe cambios a simple vista8. Para identificar si se está infectado y tomar medidas de forma inmediata son:

  • Archivos creados10:
    • c:\windows\dllhost.dat
    • c:\windows\system32\rundll32.exe
    • c:\ProgramData\perfc.dat
    • c:\ProgramData\MedocIS\MedocIS\ezvit.exe
    • c:\windows\<malware_dll>
    • %TEMP%\<random name>.tmp
  • Tarea programada para ejecutar el comando “shutdown -r -n”11

Por otro lado en caso de que el malware finalice la ejecución el computador se reiniciará y mostrará un mensaje como el siguiente o similar:

 

Kill switch

Al contrario de WannaCry no existe un Kill switch que anule la ejecución del malware para todos los casos.

Sin embargo se ha comprobado en algunos casos que el crear un archivo sin extensión, con permisos de solo lectura y llamado “perfc” en el directorio %windir% anularía la ejecución del malware12.

[1]https://www.cert.uy/inicio/novedades/alertas_y_vulnerabilidades/aviso+a+administradores+de+sistemas+sobre+ransomware/

[2]https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759#file-petya_ransomware-md

[3]http://blog.trendmicro.com/trendlabs-security-intelligence/large-scale-ransomware-attack-progress-hits-europe-hard/

[4]https://www.bleepingcomputer.com/news/security/petya-ransomware-outbreak-originated-in-ukraine-via-tainted-accounting-software/

[5]https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[6]https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

[7]https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

[8]https://securelist.com/schroedingers-petya/78870/

[9]https://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-folders-using-shadow-volume-copies/

[10]https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

[11]https://securingtomorrow.mcafee.com/mcafee-labs/new-variant-petya-ransomware-spreading-like-wildfire/

[12]https://blog.malwarebytes.com/cybercrime/2017/06/petya-esque-ransomware-is-spreading-across-the-world/