Как известно, некоторые клиенты Microsoft по всему миру стали жертвами программы-шантажиста Petya (Petya/Misha, ExPetr, NotPetya). Данное вредоносное ПО получило большое количество разнообразных названий, многие из которых тем или иным образом связаны с Petya.
Причина этой путаницы связана с тем, что оригинальный вирус-шифровальщик под названием Petya появился в 2016 году. Тот экземпляр представлял собой классическую программу-вымогатель и не мог распространяться без участия пользователя. Ключевое отличие нынешней программы-шантажиста от других в том, что при определенных обстоятельствах вирусу не нужна помощь жертвы для инициации заражения.
Это уже второй случай такого масштаба в мире за последнее время, предыдущий вирус Wannacrypt (Wannacry) также использовал канал распространения, не требует привлечения пользователя и инфицировал компьютеры без установленных обновлений безопасности. Детальное описание природы и механики работы Wannacrypt можно получить в блоге Microsoft. Далее вы найдете ключевую информацию относительно вируса Petya.
Вирус Petya, в отличие от Wannacrypt, использует дополнительные каналы распространения. На данный момент установлено, что вирус:
Может распространяться по электронной почте. В данном случае обычно используются приемы социальной инженерии, чтобы убедить пользователя открыть вредоносные вложения.
Использует ту же самую уязвимость, что и Wannacrypt для распространения по сети через протокол SMB (если обновление MS17-010 не установлено)
Попадая на один из компьютеров организации, перемещается методом lateral movement ворует доступные в памяти пароли доменных учетных записей и использует их для доступа к соседним компьютерам.
Еще один интересный момент заключается в том, что по мнению исследователей (включая Microsoft), началу атаки способствовал производитель бухгалтерского программного обеспечения M.E.Doc. Аналитики считают, что первичное распространение вируса было осуществлено через автоматическую доставку обновлений для ПО M.E.Doc с серверов обновлений этого производителя.
Основные причины заражения и методы борьбы с Petya
На момент публикации неизвестны детали атаки на инфраструктуру обновления компании M.E.Doc так же, как и нет окончательного подтверждения, что именно подсистема обновлений данной компании причастна к первичного распространения вируса. Тем не менее, если предположить, что атака действительно была организована из-за нарушения целостности цепочки поставок (software supply chain), то в качестве основной причины можно назвать несоблюдение основополагающих принципов безопасной разработки и защиты процесса поставок. Бороться с такими угрозами конечным потребителям проблематично, ведь ПО, что устанавливается, по сути, является доверенным. Тем не менее, возможности Windows 10 Defender Advanced Threat Protection (ATP) позволяют выявить компрометацию и остановить распространение внутри сети компании.
Почтовый канал распространения Petya
Канал распространения вредоносных программ через почту является типичным для большинства атак с помощью социальной инженерии где можно спровоцировать пользователя на неосторожные действия и таким образом скомпрометировать его систему. Данный способ распространения Petya должен быть знакомым большинству специалистов, как и способы противодействия: обучение пользователей и современные средства фильтрации входящей почты, дополнительно к классическим инструментов антивирусного анализа и антиспама рекомендуется использовать так называемые «песочницы» (sandbox) или «камеры детонации» (detonation chamber). Сервис Office365 ATP это облачная реализация технологии «песочницы». Сервис проверяет на подозрительное поведение все вложения и ссылки, которые передаются по почте. Первые несколько часов распространения Petya далеко не все антивирусы могли идентифицировать угрозу, в отличие от механизма «песочницы», который регистрировал подозрительное поведение и блокировал дальнейшее пересылке вложения письма.
Современные средства защиты уделяют анализу поведения большое внимание, другой сервис Windows 10 Defender ATP реализует данный подход уже на уровне узла сети. Данный уровень защиты необходим на тот случай, когда вредоносное ПО не смогло прорваться через все кордоны и запуститься на рабочей станции пользователя. Анализируя поведение системных процессов, состояние памяти, изменения ключей реестра, обращений к файловой системе и многих других параметров Windows 10 Defender ATP помогает выявить попытки или факт компрометации на ранних стадиях.
Уязвимость SMBv1
Второй способ распространения вируса заключается в эксплуатации обнаруженных ранее уязвимостей в протоколе SMBv1. Эту уязвимость уже использовал Wannacry раньше, и многие участники рынка предоставили подробные рекомендации относительно защиты от такого способа проникновения. Конечно же, самый верный способ это своевременное обновление ПО, которые были выпущены даже для систем, которые уже вышли из цикла поддержки. Но есть и другие рекомендации, такие как отключение SMBv1 вообще (данная рекомендация была опубликована еще летом 2016 года) и настройки локальных межсетевых экранов для ограничения коммуникаций рабочих станций между собой (такой подход значительно замедлит распространение вируса даже в среде без установленных обновлений). Для того, чтобы оперативно отслеживать текущее состояние защиты вашей инфраструктуры и изменение настроек, связанных с безопасностью, можно использовать сервис Operation Management Suite. Кстати, средство защиты хоста, которое работает корректно, может обнаружить появление вируса на машине даже при использовании вирусом вышеупомянутой уязвимости. Классические антивирусы получили такую возможность сразу после внесения производителями соответствующих сигнатур, а вот система анализа поведения Windows 10 Defender ATP могла помочь на ранних стадиях распространения, когда еще не было соответствующих сигнатур в антивирусных базах. Другой эффективный предохранительный средство для Petya и многих других вредоносных программ ограничение приложений, запускаемых в ОС, например, с помощью механизма Windows 10 Device Guard.