La Sécurité des Systèmes d'Information – Test d'intrusion, Pentest, Audit ISO 27001

Posted Under: Sécurité Technique Commentaires fermés sur Comment fonctionne le ransomware utilisé dans l’attaque en cours depuis quelques heures ? Comment s’en prémunir ?

Comment fonctionne le ransomware utilisé dans l’attaque en cours depuis quelques heures ? Comment s’en prémunir ?

Dans le même esprit que wanacryptor, petya utilise une vulnérabilité Microsoft Windows affectant les systèmes de XP à 2008 sur le port TCP 445.
Le patch existe : MS17-010
Son exploitation est facilitée par la fuite de la boite à outil de la NSA il y a quelques mois. C’est ici encore l’exploit ETERNALBLUE modifié qui est utilisé, mais pas seulement !
Petya embarque un outil du type mimikatz lui permettant de récupérer les identifiants/passes locaux de la machine puis les transmet à PsExec ou WMIC pour se propager au sein du réseau.
Vous comprendrez aisément qu’une unique machine ayant des droits d’administration sur le réseau, permet dès lors l’infection complète et massive de l’ensemble des systèmes qu’elle peut administrer.

Une fois installé, le ransomware attend entre 10 et 60 minutes pour rebooter la machine infectée, via schtasks ou simplement shutdown.exe.

Au boot, il chiffre la table MFT des partitions NTFS puis réécrit le MBR avec une note particulière sur l’infection et le moyen de payer la rançon.

Peut-on déchiffrer les fichiers ?
Je crains fort que non, le malware utilisant les standards de chiffrement fort :

– Une clé AES de 128b est générée de manière unique pour chiffrer les fichiers.
– Cette clé est elle-même chiffrée par une clé publique RSA 2048b.

Quelques recommandations pour se prémunir de ce type d’attaques:

  • Utilisez un antivirus robuste intégrant une technologie de sandboxing (Sophos, Trend Micro, Kaspersky)
  • Configurez vos environnements Microsoft avec les mises à jour automatiques. A défaut, patchez la vulnérabilité MS17-010.
  • N’ouvrez pas les pièces jointes d’expéditeurs inconnus
  • Assurez vos sauvegardes en ayant une copie offline

 

Pour les experts sécurité, les patterns YARA pour cette version de ransomware sont les suivantes :

$a1 = “MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXEjfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2DtX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITDbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu” fullword wide
$a2 = “.3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.vmdk.vmsd.vmx.vsdx.vsv.work.xls” fullword wide
$a3 = “DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED” fullword ascii
$a4 = “1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX” fullword ascii
$a5 = “wowsmith123456@posteo.net.” fullword wide
condition:
(uint16(0) == 0x5A4D) and
(filesize<1000000) and
(any of them)
}
Views All Time
Views All Time
286
Views Today
Views Today
2

About Jean-Bernard YATA

Jean-Bernard YATA , est Consultant chez ACESI Group au sein du département Conseil en tant qu'Expert en Sécurité Technique des Systèmes d'Information. Il réalise des tests d'intrusion (Pentest) internes et externes, mais également des audits techniques systèmes et réseaux dans une approche Security by Design, sur un modèle participatif. Egalement Lead Auditor ISO27001,il audite la maturité des entreprises dans leurs démarches de sécurité en vue d'une certification ISO27001, ou d'une volonté forte, parfois contrainte, d'aligner l'IT sur le Business. Jean-Bernard YATA est diplômé de l'Ecole Nationale Supérieure des Mines de Paris et HEC Paris.