28.06.2017

Рекомендации по предотвращению и устранению возможных последствий, связанных с ВПО “Petya 2.0”

Общая информация

  • Вектор атаки: фишинговые письма, которые дальше распространяются в пределах корпоративной сети.
  • Первоначальный источник заражения – скомпрометированные файлы обновлений ПО «M.E.Doc».
  • Используется уязвимость для исполнения вредоносного кода: CVE-2017-0199.
  • Используется уязвимость для распространения и заражения: CVE-2017-0144 (EternalBlue) .

Новая разновидность вредоносного программного обеспечения Petya.A. (предположительное название), атаковавшего компьютерные сети в странах СНГ (>80 организаций) и в некоторых странах ЕС, по предварительным данным, в ходе своей работы использует уязвимости в Microsoft Office и эксплойт ETERNALBLUE [2], использующий уязвимость в SMBv1 (CVE-2017-0144, патч MS17-010).

I.        Превентивные меры:

1.  Заблокировать доступ к следующим ресурсам:

Тип

Значение

url

http://185.165.29.78/~alex/svchost.exe

url

http://84.200.16.242/myguy.xls

url

http://french-cooking[.]com/myguy.exe

ip

185.165.29.78

ip

84.200.16.242

ip

111.90.139.247

ip

95.141.115.108

domain

coffeinoffice.xyz

2. До момента обновления всего парка рабочих станций и серверов, временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам 135 -139 и 445. Данная мера позволит снизить риск распространения вредоносного ПО “Petya 2.0” внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации.

3. Убедиться, что на всех хостах установлены последние обновления.

4. Убедиться, что антивирусное ПО имеет последние версии антивирусных сигнатур. База сигнатур должна быть обновлена 28.06.2017 не ранее 20:00 (первые упоминания о добавлении Petya.C в базу сигнатур начали поступать в 19ч).

5. Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010). Скачать обновление можно по ссылке: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

6. Установить обновление безопасности для Microsoft Office. Скачать обновления для своей версии можно по ссылке: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

7. В случае невозможности установки обновлений безопасности (см. пункт 5) – отключить протокол SMB v1/ на рабочих станциях и серверах в соответствии с инструкцией 

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

8. На серверах и рабочих станциях организовать создание резервных копий данных с помощью сторонних средств (отличных от «теневых копий» документов Windows и средства восстановления Windows, т.к. данные резервные копии могут быть уничтожены в процессе работы ВПО). Запретить запуск исполняемых файлов, имена которых попадают под маску *\psexesvc.exe или *\perfc.dat. Сделать это можно штатными средствами ОС Windows (Applocker, Software Restriction Policy), решениями класса Endpoint Security (Kaspersky Endpoint Security и т.п.), СЗИ от НСД (SecretNet).

В случае, если сотрудники компании используют psexec для административных задач, меру исключить.

Примечание: На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:

Windows XP SP3:

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

Windows Server 2003 x86:

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

Windows Server 2003 x64:

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

II. Рекомендации по факту заражения:

Рекомендуется выполнить следующий перечень действий – самостоятельно, либо обратившись к дежурному администратору:

  1. отключить зараженную машину от сети;
  2. в случае наличия резервной копии данных – произвести удаление вредоносного ПО средствами антивируса;
  3. установить обновление безопасности Windows KB4013389 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ;
  4. произвести обновление баз сигнатур антивирусного ПО и выполнить полную антивирусную проверку рабочей станции/сервера;
  5. восстановить данные из резервной копии;
  6. при повреждении MBR попытаться восстановиться следующим способом (не подтверждено):
    • bootrec /RebuildBcd
    • bootrec /fixMbr
    • bootrec /fixboot

III. Способы обнаружения

  1. Обнаружение факта заражения на АРМ.

В ходе заражения применяются системные утилиты:

  • wevtutil.exe
  • schtasks.exe
  • fsutil.exe
  • wmic.exe
  • at.exe

Обнаружение возможно посредством мониторинга событий Windows/Security ID 4688, при наличии расширенного логирования командной строки:

  • cmd.exe ” /TR “%WINDIR%\system32\shutdown.exe /r /f
  • schtasks.exe ” /TR “%WINDIR%\system32\shutdown.exe
  • cmd.exe /c wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D C:
  • wevtutil.exe wevtutil cl Setup
  • wevtutil.exe wevtutil cl System
  • wevtutil.exe wevtutil cl Security
  • wevtutil.exe wevtutil cl Application
  • fsutil.exe fsutil usn deletejournal /D C:

Примечание:

Для обеспечения функции расширенного логирования командной строки в ОС Windows, необходимо:

  1. Установить патчи, расширяющие возможности логирования командной строки в Windows https://support.microsoft.com/en-us/help/3004375/microsoft-security-advisory-update-to-improve-windows-command-line-auditing-february-10,-2015
  2. Установить официальное расширение от Microsoft для продвинутого мониторинга операционной системы — Windows Sysinternals Sysmon https://technet.microsoft.com/en-us/sysinternals/sysmon

2. Обнаружение распространения по сети

В ходе распространения по сети, предположительно, используется разновидность инструмента от Microsoft Windows Sysinternals — PsExec.
Существует SIGMA-правило [5] для обнаружения использования PsExec, оно может быть автоматически сконвертировано в запрос Splunk и ElasticSearch: https://github.com/Neo23x0/sigma/blob/d1f1bd59da2afe3a153e6453edcd7ea73acce9c6/rules/windows/other/win_tool_psexec.yml

 

title: PsExec tool execution on destination host

status: experimental

description: Detects PsExec service installation and execution events (service and Sysmon)

author: Thomas Patzke

reference: https://www.jpcert.or.jp/english/pub/sr/ir_research.html

logsource:

    product: windows

detection:

    service_installation:

        EventID: 7045

        ServiceName: ‘PSEXESVC’

        ServiceFileName: ‘*\PSEXESVC.exe’

    service_execution:

        EventID: 7036

        ServiceName: ‘PSEXESVC’

    sysmon_processcreation:

        EventID: 1

        Image: ‘*\PSEXESVC.exe’

        User: ‘NT AUTHORITY\SYSTEM’

    condition: service_installation or service_execution or sysmon_processcreation

falsepositives:

    – unknown

level: low