patrizio.tufarolo

Ultime novitÓ del wiper NotPetya

Alcune analisi provenienti dalle maggiori aziende di sicurezza ne studiano la correlazione con altri malware, nel frattempo iniziano a diffondersi strumenti difensivi specifici

Ultime novitÓ del wiper NotPetyaRoma - Gli analisti dei laboratori Kaspersky hanno studiato possibili correlazioni tra il wiper NotPetya, anche noto come ExPetr, e il gruppo BlackEnergy, fautore di KillDisk, malware dall'obiettivo analogo impiegato per rendere inutilizzabili molti sistemi industriali.
La ricerca è stata ripresa anche da Eset che ne ha approfondito il legame con Telebots.

NotPetya è un wiper, questo ormai è chiaro; avevamo già approfondito questo aspetto sottolineando come la scrittura dell'engine di criptazione sull'MBR fosse irreversibile. Ma c'è dell'altro: la Master File Table (tabella che indicizza ogni file in NTFS) viene crittata ed è resa irrecuperabile a meno di backup.

L'identificativo dell'infezione, inoltre, è generato in modo assolutamente casuale e non contiene dati che - nemmeno volendo - possano essere usati per il recupero delle informazioni memorizzate sul disco; secondo Eset, inoltre, le chiavi di cifratura conterrebbero caratteri non riproducibili dall'utente pregiudicando la possibilità di inserirli all'interno della schermata del ransomware.
La principale somiglianza individuata tra NotPetya e KillDisk è costituita dalla lista delle estensioni attaccate, che sebbene in NotPetya sia più ampia, include le stesse estensioni di KillDisk ed è formattata nel codice allo stesso modo (le estensioni sono concatenate e separate da punti).
Il codice per il riconoscimento dell'estensione, tuttavia, è leggermente differente: l'implementazione in NotPetya risulta essere più generica.
Il confronto del risultato di alcuni algoritmi di signature utilizzati sulle parti di codice per l'esplorazione ricorsiva del file system ha restituito risultati positivi fornendo, anche in questo caso, evidenze sulla similarità dei due malware.

Nell'analisi del codice dei due sample, inoltre, sono state riconosciute alcune stringhe simili:
- shutdown.exe /r /f
- ComSpec
- InitiateSystemShutdown

Di seguito la regola YARA utilizzata:

strings:
//shutdown.exe /r /f
$bytes00 = { 73 00 68 00 75 00 74 00 64 00 6f 00 77 00 6e 00 2e 00 65 00 78 00 65 00 }

//ComSpec
$bytes01 = { 43 00 6f 00 6d 00 53 00 70 00 65 00 63 00 }

//InitiateSystemShutdown
$bytes02 = { 49 6e 69 74 69 61 74 65 53 79 73 74 65 6d 53 68 75 74 64 6f 77 6e 45 78 57}

//68A4430110 push 0100143A4;'ntdll.dll'
//FF151CD10010 call GetModuleHandleA
//3BC7 cmp eax,edi
//7420 jz...
$bytes03 = { 68 ?? ?? ?1 ?0 ff 15 ?? ?? ?? ?0 3b c7 74 ?? }

// "/c"
$bytes04 = { 2f 00 63 00 }

//wcscmp(...
$hex_string = { b9 ?? ?? ?1 ?0 8d 44 24 ?c 66 8b 10 66 3b 11 75 1e 66
85 d2 74 15 66 8b 50 02 66 3b 51 02 75 0f 83 c0 04 83 c1 04 66 85 d2 75
de 33 c0 eb 05 1b c0 83 d8 ff 85 c0 0f 84 ?? 0? 00 00 b9 ?? ?? ?1 ?0 8d
44 24 ?c 66 8b 10 66 3b 11 75 1e 66 85 d2 74 15 66 8b 50 02 66 3b 51 02
75 0f 83 c0 04 83 c1 04 66 85 d2 75 de 33 c0 eb 05 1b c0 83 d8 ff 85 c0
0f 84 ?? 0? 00 00 }

condition:

((uint16(0) == 0x5A4D)) and (filesize < 5000000) and
(all of them)
}

Ovviamente, tutto ciò non costituisce una prova inequivocabile dell'esistenza di un collegamento tra i due malware, ma è curioso come essi condividano alcune scelte di design.

Nel frattempo, il gruppo (o la persona) che si cela dietro al malware ha effettuato alcune transazioni di BitCoin per il valore di 3,96298755 BTC (circa 10 mila dollari) dal portafogli 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX verso l'account 1Ftixp78FjTWFi3ssJjBw5NqKf5ZPQjXBb; inoltre sono stati scritti due post su PasteBin e DeepPost nei quali viene offerta la chiave privata di NotPetya alla "modica" cifra di 100 BTC.

Sul Web stanno emergendo alcuni tool per il controllo della presenza delle vulnerabilità sfruttate da NotPetya e WannaCry: uno di questi è EternalBlues, che nasce come vulnerability scanner per le problematiche di sicurezza segnalate nell'ambito di Vault 7.
Questo strumento, di cui non è noto il codice sorgente, ha come obiettivo quello di fornire un metodo immediato e alla portata di tutti per verificare lo stato di sicurezza del sistema nei confronti degli exploit firmati NSA.
Dopo quattro giorni dal rilascio, nella giornata del 2 Luglio, è stato erogato un aggiornamento per correggere risultati non attendibili e sono stati forniti dettagli sul funzionamento.


EternalBlues esegue una scansione della rete alla ricerca di sistemi vulnerabili, inviando 4 messaggi SMB appositamente forgiati:
- SMB Negotiate Protocol
- SMB Session Setup AndX Request
- SMB Tree Connect (to IPC$)
- SMB Peek Named Pipe

Se la risposta a questa sequenza di messaggi è STATUS_INSUFF_SERVER_RESOURCES, l'host è vulnerabile; nel caso in cui il messaggio ricevuto sia invece STATUS_ACCESS_DENIED oppure STATUS_INVALID_HANDLE, l'host ha già la patch MS17-010 e non presenta le problematiche di sicurezza sfruttate dai derivati di EternalBlue.

Le raccomandazioni per i lettori continuano ad essere le stesse: disabilitare SMBv1, tenere il sistema costantemente aggiornato e, soprattutto, effettuare backup periodici dei propri file e documenti.

Patrizio Tufarolo
Notizie collegate
  • AttualitàPetya/NotPetya tra vaccini e analisiLe societÓ di sicurezza stanno analizzando la minaccia e hanno scoperto qualcosa di interessante: il nuovo ransomware non Ŕ Petya ma gli somiglia, esiste la possibilitÓ di "vaccinarsi" e provare a pagare il riscatto Ŕ oramai inutile
  • SicurezzaPetya, considerazioni tecnicheIl vettore di attacco iniziale Ŕ una distribuzione infetta di MEDoc, software di contabilitÓ molto popolare in Ucraina, ma EternalBlue ha permesso al malware di propagarsi sui sistemi di tutta l'Europa. Analizziamone i dettagli tecnici
  • AttualitàPetya, il nuovo attacco globale del ransomwareUna nuova, virulenta epidemia di malware cripta-file sembra essere scoppiata in giro per il mondo. Un problema di non facile soluzione che potrebbe avere effetti comparabili a quelli di WannaCry
9 Commenti alla Notizia Ultime novitÓ del wiper NotPetya
Ordina
  • State attenti che se continuate così finisce che mi monto la testaSorride
  • anzichè "//shutdown.exe /r /f"

    avrei scritto

    a"//shutdown.exe /r /f /t 00"

    comunque i gusti sono gusti ...A bocca aperta
    non+autenticato
  • Tufarolo, qui non posta nessuno perche siamo tutti di la' a scannarci nell'articolo delle sexy bambole. cosi' va il mondo, robe serie non cagate, stupidaggini a mille. e' PI, che ci vuoi fare.
    non+autenticato
  • E, al di là dell'inevitabile scazzo presente su altri articoli (tipo appunto quello delle sexy bambole A bocca aperta Devo finire ancora di leggere commenti Rotola dal ridere), è indiscutibile che gli articoli di Patrizio siano di altissimo livello e quando ai lettori di PI gira bene, nasce un circolo virtuoso di cui si avvantaggiano tutti. Come nell'articolo su AES Tempest dove alcuni lettori, sempre a modo loro, fecero notare delle correzioni importanti.
    Patrizio, ti prego, continua così. Spero di leggerti ancora.
    Ok, vado a farmi 4 risate sulle sexy bambole Sorride
    non+autenticato
  • - Scritto da: piaccapi
    > E, al di là dell'inevitabile scazzo presente su
    > altri articoli (tipo appunto quello delle sexy
    > bambole A bocca aperta Devo finire ancora di leggere
    > commenti Rotola dal ridere), è indiscutibile che gli
    > articoli di Patrizio siano di altissimo livello e
    > quando ai lettori di PI gira bene, nasce un
    > circolo virtuoso di cui si avvantaggiano tutti.


    dici il ero ma PI secondo me e SOOL: Sputtantao Oltre Ogni Livello, e farlo rientrare in carreggiata sarebbe impossibile o difficilissimo, non basta un, seppur bravo e preparato, articolista. E' lecosistema dei postatori cazzoni (mi ci metto ache io, per carita') che va cambiato. Il fatto e' che PI ci ha "allevati" per essere cazzoni perche' gli andava bene per i click e le visualizzazioni.



    > Come nell'articolo su AES Tempest dove alcuni
    > lettori, sempre a modo loro, fecero notare delle
    > correzioni importanti.

    fuoco di paglia.


    > Patrizio, ti prego, continua così. Spero di leggerti
    > ancora.

    anche io. Patrizio, facci sapere se emigrerai su un portale serio che ti seguiro', pi prometto che faro' il bravo Sorride

    > Ok, vado a farmi 4 risate sulle sexy bambole Sorride
    idem
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: piaccapi
    > > E, al di là dell'inevitabile scazzo presente su
    > > altri articoli (tipo appunto quello delle sexy
    > > bambole A bocca aperta Devo finire ancora di leggere
    > > commenti Rotola dal ridere), è indiscutibile che gli
    > > articoli di Patrizio siano di altissimo livello
    > e
    > > quando ai lettori di PI gira bene, nasce un
    > > circolo virtuoso di cui si avvantaggiano tutti.
    >
    >
    > dici il ero ma PI secondo me e SOOL: Sputtantao
    > Oltre Ogni Livello, e farlo rientrare in
    > carreggiata sarebbe impossibile o difficilissimo,
    > non basta un, seppur bravo e preparato,
    > articolista. E' lecosistema dei postatori cazzoni
    > (mi ci metto ache io, per carita') che va
    > cambiato. Il fatto e' che PI ci ha "allevati" per
    > essere cazzoni perche' gli andava bene per i
    > click e le
    > visualizzazioni.
    >
    >
    >
    > > Come nell'articolo su AES Tempest dove alcuni
    > > lettori, sempre a modo loro, fecero notare delle
    > > correzioni importanti.
    >
    > fuoco di paglia.
    >
    >
    > > Patrizio, ti prego, continua così. Spero di
    > leggerti
    > > ancora.
    >
    > anche io. Patrizio, facci sapere se emigrerai su
    > un portale serio che ti seguiro', pi prometto che
    > faro' il bravo
    > Sorride
    >
    > > Ok, vado a farmi 4 risate sulle sexy bambole
    > Sorride
    > idem


    L'unico errore da non fare, e quello di passare da Pensionati Italiani.it a OOS.it, ti bruceresti proprio come bravo articolista, e non avresti più un futuro come tale.Sorride
    non+autenticato
  • - Scritto da: ...
    < omissis >
    > anche io. Patrizio, facci sapere se emigrerai su
    > un portale serio che ti seguiro', pi prometto che
    > faro' il bravo Sorride

    Mi trovo sempre più spesso in accordo con le tue affermazioni
    Non va bene. devo impegnarmi di più a essere OT, ma per questa volta volta hai colpito giusto
    Tra l'altro non vedo commenti inutili del pandolo.
    Che strano, forse non può sparar cretinate come suo solito?
    non+autenticato
  • - Scritto da: ...
    > PI ci ha "allevati" per
    > essere cazzoni perche' gli andava bene per i
    > click e le
    > visualizzazioni.

    Frase che metterei come firma. Sorride
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ...
    > > PI ci ha "allevati" per
    > > essere cazzoni perche' gli andava bene per i
    > > click e le
    > > visualizzazioni.
    >
    > Frase che metterei come firma. Sorride

    Davvero. Ora ne paga le conseguenze... perchè chi è stato allevato a fare il troll ora ne trae piacere e col cazzo che si schiodaA bocca aperta
    non+autenticato