เมื่อช่วงคืนวันที่ 27/06/2017 ที่ผ่านมา พบการแพร่กระจายไปในวงกว้างของ Ransomware ตัวเก่าในร่างใหม่ (version ใหม่) นั่นคือ Petya Ransomware โดยมีวิธีการกระจายเบื้องต้นของ WannaCry

Petya หรือรู้จักกันในชื่อ NotPetya, PetWrap, Goldeneye, และ Pnyetya Ransomware เริ่มเจอจริงๆครั้งแรกเมื่อช่วงเดือนมีนาคม 2016 โดยแตกต่างกับ ransomware ทั่วไปนั่นคือการเข้ารหัส Master Boot Record (MBR) ซึ่งเป็นจุดเก็บ Master File Table (MFT) ของ Partition Table ในการ load OS ส่งผลให้เครื่องไม่สามารถบูทเข้าระบบได้นั่นเอง ซึ่ง version ทุกๆ version ต่อมายังคงเป็นการเข้ารหัส MBR เช่นเดิมเสมอมาแต่ได้มีพัฒนาการมาเรื่อยๆ ในการแพร่กระจาย malware และการพัฒนาการเข้ารหัสแทนนั่นเอง

จุดเริ่มต้นของการแพร่กระจายในวันที่ 27/06/2017 ที่ผ่านมาเกิดจาก software สำหรับบัญชีของ Ukrain ที่ชื่อว่า MeDoc โดนแฮ็คแล้วฝัง ransomware เข้าไป โดย Security Researcher ทั้งจาก Kaspersky, AlienVault, Talos คาดว่าน่าจะเป็นตัวนี้ที่เป็นตัวแพร่กระจาย แต่ทางบริษัทผู้ผลิตกล่าวว่าไม่ได้เป็นที่ตัวการแต่อย่างใด

โดยเมื่อเครื่องที่ถูกเข้ารหัสเวลา reboot เครื่องขึ้นมาจะพบกับหน้าเรียกค่าไถ่(ก่อนเข้าถึง OS)ทันที เรียกค่าไถ่ Bitcoin อยู่ที่ประมาณ 300$ ครับ

 

*** เพื่อให้คนเห็นเรื่องการป้องกันก่อนจึงนำรายละเอียดการป้องกันขึ้นมาตรงนี้ก่อนนะครับ หากใครต้องการอ่านรายละเอียด เลื่อนไปดูด้านล่างอีกทีนะครับ

ข้อแนะนำในการป้องกัน

1. เราสามารถป้องกันได้โดยใช้วิธีเดียวกับ WannaCry
2. Disable การเข้าใช้งาน psexec แบบ remote

หรือปิดการเข้าถึงจาก remote ใดๆของ user ที่เรากำหนด โดยใช้เป็น

3. Disable WMI

4. หาก reboot เครื่องขึ้นมา แล้วพบภาพการใช้ CHKDSK ให้ทำการปิดเครื่องทันทีนั่นหมายความว่าไฟล์คุณยังไม่ถูกเข้ารหัสนั่นเอง

ข้อแนะนำเมื่อเครื่องติด malware

  1. ให้ตัดการเชื่อมต่อเครือข่าย (ถอดสาย LAN, ปิด Wi-Fi) และปิดเครื่องทันที
  2. แจ้งเตือนผู้ดูแลระบบในหน่วยงานว่ามีเครื่องคอมพิวเตอร์ตกเป็นเหยื่อเพื่อให้แจ้งหน่วยอื่น

Upgrade การกระจายตัวจาก WannaCry

Petya เวอร์ชั่นล่าสุดที่เจอเมื่อ 27/06/2017 ที่ผ่านมามีการเริ่มแพร่กระจายเหมือนกับ WannaCry นั่นคือการโจมตีผ่าน EternalBlue (MS17-010) สิ่งที่ Petya ทำคือการทำ EternalBlue Function ให้กลายเป็น DLL ทำให้สามารถ bypass การตรวจจับของ Antivirus บางตัวได้ โดยใน DLL ดังกล่าวมีการประกาศ export function แค่เพียง function เดียว จากนั้นก็ทำการแพร่กระจายอย่าง EternalBlue นั่นเอง​

เมื่อ exploit สำเร็จ malware จะทำการ copy ตัวเองไปยังเครื่องดังกล่าวภายใต้ C:\Windows โดย Petya นั้นมีความแตกต่างและทำให้การโจมตีภายในได้สำเร็จมากขึ้นคือ copy psexec.exe (เครื่องมือสำหรับการสั่งงานคำสั่งจากระยะไกลผ่าน port 139,445 ) ไปยัง ADMIN$ folder ของเครื่องเป้าหมาย แล้วทำการย้ายไปไว้ที่ c:\windows\dllhost.dat ถ้าสำเร็จก็จะทำการใช้ psexec ในการรันเป็น service ต่อไป จากนั้นทำการ copy DLL ไปยังเครื่องเป้าหมาย แล้วก็นำไปไว้ที่ C:\Windows และทำการกระจายตัวต่อไป

และสุดท้ายคือพบมีการใช้งาน Windows Management Instrumentation Command-line (WMIC) จะทำการ execute ไปยังเครื่องเป้าหมายเพื่อทำการขโมยข้อมูล โดยใช้คำสั่งเป็น:

  • wmic.exe %s /node:”%ws” /user:”%ws” /password:”%ws” process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\%s\” #1

โดย %ws คือ wide string ซึ่งถูกสร้างจากเครื่องปัจจุบันเพื่อทำการ query credential ออกมา

นอกเหนือจาก drop psexec ลงมาในเครื่องเป้าหมายแล้ว ยังมีการใช้งานเครื่องมือสำหรับการ dump password อย่าง Mimikatz และ LSADump อีกด้วย

Malware นั้นมีการเข้ารหัส local file และ MBR จากนั้นมีการทำ schedule task เมื่อมีการ reboot จะทำการใช้งานคำสั่งเมื่อผ่านไป 1 ชม. โดยใช้ schtasks.exe

การเข้ารหัสใช้เป็น AES-128 ด้วย RSA ซึ่งแต่ก่อนใช้เป็น SALSA20 และมีการฝัง RSA Public key ไว้ตามภาพ

อีกทั้ง Malware ยังมีการ clear log ทั้งหมดอีกด้วย โดยใช้คำสั่ง

  • wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:

สรุปด้วยภาพ

  • จากทั้งหมดจะสรุปเป็นดังภาพ

  • ตัว extension ที่จะถูกเข้ารหัสจะมีดังนี้

Indicators of compromise

Known hashes

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745 (main 32-bit DLL)
  • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1 (main 32-bit DLL)
  • f8dbabdfa03068130c277ce49c60e35c029ff29d9e3c74c362521f3fb02670d5 (signed PSEXEC.EXE)
  • 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f (64-bit EXE)
  • eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998 (32-bit EXE)

Files

  • c:\windows\dllhost.dat
  • c:\windows\<malware_dll> (no extension)
  • %TEMP%\<random name>.tmp (EXE drop)

Other indicators

  • PIPE name: \\.\pipe\{df458642-df8b-4131-b02d-32064a2f4c19}
  • Scheduled task running “shutdown -r -n”

Update::

ตอนนี้มีคนพบว่าไม่สามารถติดต่อหรือจ่ายเงิน email ของ hacker ที่ถูกระบุไว้ได้ เนื่องด้วยโดย Email นั้นถูก Block ไว้นั่นเอง

สำหรับใครต้องการได้ข้อสรุปทั้งหมดของ WannaCry ในการ patch และอื่นๆสามารถตามได้ใน Link นี้ครับ

Source::