מתקפת Goldeneye/Petya, מה צריך לדעת ודרכי התגוננות
ביום שלישי 27.6 החלה מתקפת סייבר גלובאלית ברחבי העולם כאשר עשרות מדינות, תחנות קצה וארגונים רבים מותקפים. האזורים המותקפים הם אירופה, ארה”ב וגם ארגונים מישראל הותקפו ונדבקו.
המתקפה הנוכחית נקראת Goldeneye/Petya ומשלבת מתקפה חדשה/ישנה על גבי מאפיינים ידועים וחדשים, בדומה למתקפת wannacry גם כאן נעשה שימוש בתחנות קצה לא מעודכנות בכדי להפיץ ולהגביר את המתקפה.
שימו לב, ארגונים שנדבקו במתקפה ושילמו את הכופר לא קיבלו בחזרה את מפתח ההצפנה ותחנות הקצה שלהם לא פוענחו (decrypt) בחזרה והקבצים נשארו מוצפנים.
מה ידוע עד כה?
מתקפת כופר מסוג Goldeneye/Petya הדביקה ארגונים רבים ברחבי העולם כאשר מיקוד המתקפה הוא באוקראינה, נכון לעכשיו מדובר על אחת המתקפות הגדולות בהיסטוריה, בנוסף לכך גם ארגונים רבים מישראל נפלו קורבן למתקפה.
כמו מתקפת Wannacry גם כאן ישנו שימוש של חולשה EternalBlue אשר מפיצה את עצמם לכלל המחשבים באמצעות מנגנונים שונים בין היתר SMBv1.
במתקפת הסייבר הנוכחית התוקפים ניצלו פרצת האבטחה שפורסמה בחודש מרץ 2017 ע”י קבוצות האקרים שונות והמתקפה מבצעת הפצה לתחנות קצה נוספות ברשת הארגונית, מתקינות קבצים ונוזקות ומנסות לתקשר עם שרתים ותחנות קצה נוספות או לחלופין מבצעות כופר קלאסי ומצפינות את המידע בתחנת הקצה. תוצאות המתקפה הרסניות וגרמו להשבתה של ארגונים רבים ברחבי העולם.
הגורמים למתקפת הסייבר הנוכחית מורכבים מהמון פרמטרים, בין היתר: חולשה במערכות ישנות מבוססות Windows, הדלפה של ארגון NSA, פרסום החולשה ע”י קבוצות האקרים שונות וארגונים שלא השכילו לבצע עדכונים בזמן.
תהליך המחקר של המתקפה עדיין בעיצומה אבל אלה הדגשים ממה שידוע עד כה:
- חברת MeDoc הוציאה עדכון למוצר שלהם (מוצר פיננסי)
- העדכון שהופץ כלל קבצים זדוניים, כתובות לדרכי תקיפה ועוד
- דרכי הפצה נעשים על גבי 139 + 445
- ברקע הכופר מתחיל להריץ פקודות לביצוע ההצפנה
התפשטות ותקיפה של Petya על גבי SMBv1
המתקפה מדביקה תחנות קצה מסוג:
Windows XP (all services pack) (x86) (x64)
Windows Server 2003 SP0
Windows Server 2003 SP1/SP2
Windows Server 2003
Windows Vista
Windows Vista
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows 7
Windows 10
התנהגות בזמן מתקפה בתחנת קצה
במידה ותחנת קצה נדבקת במתקפת הכופר החל מאותו רגע נעשות מספר פעולות חריגות:
- משנה את סוג שפת המלקדת ומשאיר רק שפת מקלדת אחת
- אוכף הודעות שגיאה ומאתחל את תחנת הקצה
- מחליף ונועל MBR עם נוזקות וקוד זדוני
- הקוד הזדוני מצפין את כלל הדיסק המקומי
- במידה ותחנה שוחזרה מתבצע תהליך חוזר של הצפנה
- משתמש מקבל הודעה לגבי תשלום
כאשר תחנת קצה נדבקת ישנו קובץ שנקרא wevtutil.exe שמכיל שורת Security, לאותו קובץ יהיה תת תהליך של cmd,exe עם רישום deletejournal.
דרכי התגוננות
חסימת כתובות ודומיינים – חייב לחסוף את רשימת הדומיינים והכתובות הבאות:
95.141.115.108
84.200.16.242
111.90.139.247
185.165.29.78
Yadi[.]sk
Sundanders[.]online
Coffeinoffice[.]xyz
french-cooking[.]com
חסימת SMBv1 – חובה לחסוף פרוטוקול SMBv1 בתחנות קצה ושרתים
- ביצוע עדכון MS17-010
- ביצוע עדכוני מערכת לשרתים ותחנות קצה של אפריל לפחות ומומלץ גם עדכוני יוני האחרונים
חסימת SmBv1 בארגון (lateral movement)
- במידת האפשר לבטל פרוטוקול של SMBv1 ברמת הרשת הארגונית
מניעת הרצת Petya בתחנות – ניתן לבצע Kill switch ולמנוע את הרצת הוירוס
- יצירת קובץ perfc ללא סיומת בתיקיית C:\Windows
- יצירת פוליסי ברמת GPP לפי המאמר Prevent Petya with GPP
חסימת Hash להרצה ע”י כלים שונים בכדי למנוע התשפטות של המתקפה
- חסימת כלים וסקריפטים אשר מריצים משימות עם HASH בפרמטר aeee996fd3484f28e5cd85fe26b6bdcd
ליידע משתמשי קצה
- להוציא עדכון לכלל משתמשי הקצה בארגון לא ללחוץ על קישורים,לא לפתוח מיילים חשודים ולא ללחוץ על קבצים חשודים
פוסט קצר וענייני כל הכבוד