เป็นเรื่องต่อเนื่องของ Petya เมื่อล่าสุดทาง Microsoft ออกผลวิเคราะห์การแพร่กระจาย Petya เพิ่มเติม รวมถึงการยืนยันการแพร่กระจายจาก application บัญชีที่ชื่อว่า MeDoc ของบริษัทในประเทศ Ukrain อีกด้วย

Microsoft กล่าวว่าเมื่อมีการแพร่กระจายเกิดขึ้นทางทีมงานของ Microsoft เองก็ได้ออก signature แล้ว update ผ่าน Antimalware ทันที นั่นหมายความว่า “Windows Defender Antivirus” และ “Microsoft Security Essentials” สามารถป้องกัน Petya ได้แล้วนั่นเอง

ในเรื่องการเริ่มต้นของการแพร่กระจาย Microsoft กล่าวว่ามีหลักฐานว่าบริษัท M.E. Doc ซึ่งเป็นบริษัทสัญชาติ Ukrain ที่ทำ Application บัญชีและคำนวณภาษีชื่อว่า MEDoc. มีการแพร่กระจาย ransomware จากในส่วน update process (EzVit.exe) ของ application ดังกล่าว ด้วยเหตุผลอันใดยังไม่ทราบได้ โปรแกรมดังกล่าวจะทำการรันโดยใช้คำสั่งเป็น

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

ส่วนการแพร่กระจายเหมือนที่เคยคุยไปคือ

  • ขโมยข้อมูล credential หรือใช้ active session ที่มีอยู่
  • ใช้ file sharing ในการส่ง malicious file ไปยังเครื่องเป้าหมาย
  • ใช้ function ที่ดูปกติในการรัน payload หรือใช้งานช่องโหว่ SMB ในเครื่องที่ยังไม่ patchRansomware code responsible for accessing \\Admin$ shares on different machines

 

 

Indicators of Compromise

Network defenders may search for the following indicators:

File Indicators

  • 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
  • 9717cfdc2d023812dbc84a941674eb23a2a8ef06
  • 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf
  • 56c03d8e43f50568741704aee482704a4f5005ad

Source:: Microsoft