Petya Ransomware - Nhận biết và khắc phục
Petya ransomware là một nhóm phần mềm độc hại ransomware, nhắm vào hệ điều hành Microsoft Windows, lây nhiễm vào master boot record để thực hiện một payload mã hóa bảng tập tin NTFS, rồi đòi hỏi một khoản tiền chuộc bằng Bitcoin để được trả lại quyền truy cập vào hệ thống.
1. Hệ thống bị ảnh hưởng
Hệ điều hành Microsoft Windows
2. Tổng quan
Theo Bizfly Cloud tìm hiểu, cảnh báo này đã được cập nhật nhằm phản ánh sự công nhận của Chính phủ Hoa Kỳ đối với biến thể của mã mã độc "NotPetya" đối với quân đội Nga. Muốn tìm hiểu thêm thông tin, bạn có thể theo dõi từ những tuyên bố từ Thư ký tạp chí Nhà Trắng. Để biết thêm thông tin liên quan đến mã độc NotPetya, hãy truy cập link sau: https://www.us-cert.gov/grizzlysteppe.
Phạm vi phân tích của Cảnh báo này giới hạn ở phiên bản phần mềm độc hại Petya mới nhất xuất hiện vào ngày 27/06/2017. Và phần mềm độc hại sẽ được gọi là "NotPetya".
Vào ngày 27/06/2017, NCCIC (National Cybersecurity and Communications Integration Center) đã được thông báo về sự cố mã độc Petya xảy ra ở nhiều quốc gia và ảnh hưởng đến nhiều ngành. Biến thể này của Petya - được biết đến với tên gọi NotPetya - sẽ mã hóa tệp với các phần mở rộng từ danh sách mã hoá cứng. Ngoài ra, nếu mã độc hại chiếm được quyền quản trị, nó sẽ mã hóa Master boot record (MBR), điều này khiến cho các máy tính Windows bị nhiễm không thể sử dụng được nữa. Điểm khác biệt lớn nhất của NotPetya với mã độc Petya trước đây chính là phương pháp lan truyền của chính nó.
Nhóm phân tích mã NCCIC đã đưa ra báo cáo phát hiện mã độc (MIFR) để cung cấp các phân tích kỹ thuật chuyên sâu về các mã độc này. Bằng cách hợp tác với các đối tác trong cả hai lĩnh vực tư nhân và nhà nước, NCCIC cũng đang cung cấp các chỉ số bổ sung về sự thỏa hiệp (IOCs) dưới dạng CSV (comma-separated-value) cho các mục đích chia sẻ thông tin.
3. Mô tả
NotPetya tận dụng khá nhiều phương pháp lan truyền để lây lan trong network bị nhiễm mã độc. Theo những phân tích về mã độc, NotPetya thường xâm phạm vào các kỹ thuật dưới đây:
PsExec - công cụ quản trị Windows chính thống
WMI - Windows Management Instrumentation, một thành phần chính thống của Windows.
EternalBlue - giống với lỗ hổng Windows SMBv1 được sử dụng bởi WannaCry
EternalRomance - một lỗ hổng khác của Windows SMBv1
Bản cập nhật bảo mật cho lỗ hổng SMB MS17-010 đã được Microsoft phát hành vào ngày 14/03/2017, bản cập nhập đã đề cập đến các kỹ thuật di chuyển bên ngoài EternalBlue và EternalRomance.
4. Chi tiết kĩ thuật
- NCCIC nhận được một mẫu của biến thể mã độc NotPetya và tổ chức đã tiến hành phân tích chi tiết. Dựa trên phân tích, các nhà nghiên cứu cho biết, NotPetya đã mã hóa file của nạn nhân bằng một chìa khóa phát sinh 128-bit, và tạo ra một ID duy nhất cho nạn nhân. Tuy nhiên, hiện vẫn chưa tìm thấy bất kì bằng chứng gì về mối liên hệ giữa key mã hoá và ID của nạn nhân, điều này có nghĩa là kẻ tấn công không hề có khả năng giải mã được các files của nạn nhân ngay cả khi tiền chuộc được thanh toán đi chăng nữa. Do đó, có thể thấy nó hoạt động giống như mã độc phá hoại (destructive malware) hơn là ransomware.
(Ransomware là loại malware sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại).
- NCCIC đã tiến hành quan sát khá nhiều các phương pháp mà NotPetya sử dụng để gây nên sự lan truyền trong network.
Cách đầu tiên và cũng là cách xuất hiện trong hầu hết các trường hợp, đồng thời cũng là phương pháp hiệu quả nhất, đó là: sử dụng một phiên bản đã bị sửa đổi của công cụ Mimikatz để ăn cắp thông tin Windows của người dùng. Các nhân tố ảo độc hại có thể sử dụng các chứng chỉ bị đánh cắp, kết hợp cùng với công cụ WMIC (Windows Management Instrumentation Command Line) hoặc psexec.exe, các tiện ích của Microsoft SysInternals để truy cập các hệ thống khác network đó.
Cách thứ hai dùng để lan truyền đó là: sử dụng công cụ khai thác EternalBlue để nhắm vào các hệ thống mục tiêu chưa được vá lỗ hổng, hệ thống này sẽ đang chạy một phiên bản SMBv1 dễ bị tấn công. Trong trường hợp này, mã độc sẽ cố gắng xác định các máy chủ khác trên network đó bằng cách kiểm tra bảng bản đồ địa chỉ IP vật lý của hệ thống bị thỏa hiệp. Tiếp theo, nó không ngừng quét các hệ thống dễ bị tấn công bởi lỗ hổng SMB khác và cài đặt các tải trọng nguy hiểm.
- Trong tiến trình hoạt động, mẫu phân tích của NotPetya đã tiến hành mã hóa tệp tin của hệ thống bị xâm nhập bằng thuật toán AES (Advanced Encryption Standard) 128-bit. Sau đó, mã độc sẽ viết một tệp tin văn bản trên ổ đĩa "C: \" chứa vị trí ví tiền tĩnh của Bitcoin và khóa cài đặt cá nhân duy nhất, cố tình được dành riêng cho nạn nhân khi họ sử dụng trong quá trình thực hiện thanh toán tiền chuộc và tạo ID cho ví Bitcoin. NotPetya sẽ sửa đổi bản ghi khởi động chính (MBR) để kích hoạt mã hóa của bảng tệp chính (MFT) và MBR gốc, ngay sau đó nó sẽ tiến hành việc khởi động lại hệ thống. Dựa vào các phương pháp mã hoá được sử dụng, các chuyên gia cho rằng, có vẻ như các tệp thực ra không hề có khả năng phục hồi, thậm chí kể cả kẻ tấn công có nhận được chìa khóa duy nhất của nạn nhân và ID của ví Bitcoin đi chăng nữa.
Cơ chế phân phối của NotPetya trong sự kiện ngày 27/06/2017 đã được xác định là phần mềm kế toán thuế Ukraina, M.E.Doc. Các tác nhân độc hại không gian mạng sử dụng một backdoor để thỏa hiệp với môi trường phát triển của M.E. Doc kể từ ngày 14/04/2017. Chính Backdoor này đã cho phép các tác nhân độc hại chạy các lệnh tùy ý, xóa bỏ các file, tiến hành tải về và thực hiện các khai thác tùy ý trên hệ thống bị ảnh hưởng. Chính vì vậy, các tổ chức nên tiến hành xem xét lại các M.E.Doc đã được cài đặt, và kiểm tra toàn bộ hệ thống này nhằm phát hiện ra các lỗ hổng tiềm ẩn.
5. Ảnh hưởng
Theo số liệu của rất nhiều báo cáo được đưa ra, mã độc NotPetya này đã gây thiệt hại nghiêm trọng cho các tổ chức trong nhiều lĩnh vực, bao gồm cả tài chính, vận tải, năng lượng, các cơ sở thương mại và chăm sóc sức khoẻ... Không chỉ các thực thể kinh doanh, mà các hệ thống Windows cũng có nguy cơ bị mã độc này tấn công, có thể kể đến như:
- Các hệ thống không được cài đặt các bản vá lỗ hổng trong MS17‑010, CVE-2017-0144 và CVE-2017-0145.
- Các hệ thống hoạt động trong môi trường network chia sẻ hoặc hoạt động trong một tổ chức bị tấn công.
Các hậu quả do mã độc gây ra:
- Tạm thời hoặc vĩnh viễn mất đi các thông tin nhạy cảm và độc quyền của tổ chức.
- Gián đoạn các hoạt động thường xuyên.
- Tổn thất về tài chính cho việc phục hồi hệ thống và các dữ liệu.
- Tổn hại về vị thế và uy tín của tổ chức.
6. Giải pháp
NCCIC khuyến nghị người dùng không nên thỏa thuận với các yêu cầu tiền chuộc, bởi vì bằng cách làm như vậy, bạn đang góp phần làm phong phú thêm các nhân tố độc hại trong khi lại không hề có sự đảm bảo rằng các tệp tin được mã hóa sẽ được phát hành.
Trong sự cố NotPetya này, địa chỉ email để xác nhận thanh toán đã bị tắt bởi các nhà cung cấp dịch vụ email, vì vậy việc thanh toán hoàn toàn không hề dẫn đến việc khôi phục dữ liệu.
Theo một bên liên quan với NCCIC, các website liệt kê dưới đây là các trang web được sử dụng để thanh toán trong hoạt động kể trên. Các trang web này sẽ không được bao gồm trong gói CSV như IOCs.
hxxp://mischapuk6hyrn72[.]onion/
hxxp://petya3jxfp2f7g3i[.]onion/
hxxp://petya3sen7dyko2n[.]onion/
hxxp://mischa5xyix2mrhd[.]onion/MZ2MMJ
hxxp://mischapuk6hyrn72[.]onion/MZ2MMJ
hxxp://petya3jxfp2f7g3i[.]onion/MZ2MMJ
hxxp://petya3sen7dyko2n[.]onion/MZ2MMJ
7. Phát hiện
NCCIC khuyến cáo rằng các tổ chức doanh nghiệp hãy phối hợp với nhà cung cấp bảo mật của mình để đảm bảo có những biện pháp bảo vệ thích hợp trước mối đe dọa này.
Nhờ vào sự giống nhau về tính năng và tính tương đồng của các hành vi giữa WannaCry và NotPetya, mà có khá nhiều bộ quy tắc có sẵn có thể sử dụng để chống lại cả hai loại mã độc này khi thực thi các triển khai phù hợp.
Sau đây là các bộ quy tắc được cung cấp trong các nguồn sẵn có trong cộng đồng, có thể giúp phát hiện được những hoạt động liên quan đến các mã độc này:
sid:2001569, "ET SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection" (http://doc.emergingthreats.net/2001569)
sid:2012063, "ET NETBIOS Microsoft SRV2.SYS SMB Negotiate ProcessID? Function Table Dereference (CVE-2009-3103)" (http://doc.emergingthreats.net/bin/view/Main/2012063)
sid:2024297, "ET CURRENT_EVENTS ETERNALBLUE Exploit M2 MS17-010" (http://docs.emergingthreats.net/bin/view/Main/2024297)
sid:42944,"OS-WINDOWS Microsoft Windows SMB remote code execution attempt" (https://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html)
sid:42340,"OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt" (https://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html)
sid:41984,"OS-WINDOWS Microsoft Windows SMBv1 identical MID and FID type confusion attempt" (https://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html)
8. Cách đề phòng
- Đảm bảo bạn đã vá toàn bộ hệ thống và hãy chắc chắn rằng mình đã áp dụng bản vá của Microsoft cho lỗ hổng SM17 MS17-010 ngày 14/03/2017.
- Thực hiện sao lưu dữ liệu và kiểm tra các bản sao lưu một cách thường xuyên, bạn hãy thực hiện nó như là một phần của bản kế hoạch khắc phục thảm họa toàn diện.
- Đảm bảo rằng hệ thống được scan định kì thường xuyên bởi các phần mềm diệt virus và chống mà độc.
- Quản lý chặt chẽ việc sử dụng các tài khoản được ưu tiên. Bạn hãy lưu ý thực hiện theo nguyên tắc "quyền ưu tiên nhất". Bằng cách: Không chỉ định quyền truy cập quản trị cho người dùng trừ tình huống khẩn cấp. Chỉ nên sử dụng tài khoản quản trị viên khi cần.
- Cấu hình các kiểm soát truy cập, bao gồm: quyền truy cập tệp, thư mục và quyền chia sẻ mạng với nguyên tắc về "quyền ưu tiên nhất". Cụ thể: Nếu người dùng chỉ cần đọc các tệp cụ thể, họ không nên được trao quyền truy cập ghi hoặc chia sẻ các tệp, thư mục đó.
- Sử dụng WMI thật an toàn bằng cách ủy quyền user WMI và thiết lập quyền sử dụng.
- Sử dụng tường lửa dựa trên máy chủ lưu trữ và ngăn chặn các kết nối trạm-trạm (workstation-to-workstation) để hạn chế các giao tiếp bên cạnh không cần thiết.
- Vô hiệu hoá/ giới hạn WMI từ xa và chia sẻ tập tin.
- Chặn các thực thi từ xa thông qua PSEXEC.
- Phân chia mạng và chức năng.
- Tăng sức bền của các thiết bị mạng, đồng thời tăng bảo mật cho các truy cập vào cơ sở hạ tầng thiết bị.
- Thực hiện quản lý mạng không dây.
- Xác nhận tính toàn vẹn của phần cứng và phần mềm.
- Tắt SMBv1 và chặn tất cả các phiên bản của SMB tại ranh giới mạng bằng cách chặn cổng TCP 445 với các giao thức liên quan trên các cổng UDP 137-138 và cổng TCP 139; điều này nên áp dụng cho tất cả các thiết bị ranh giới.
Lưu ý: Tắt hoặc chặn SMB có thể gây ra các vấn đề bằng cách gây cản trở quyền truy cập vào tệp, dữ liệu hoặc thiết bị được chia sẻ. Vì vậy bạn hãy cân bằng các lợi ích của việc giảm thiểu gián đoạn tiềm ẩn đối với người dùng.
Có thể bạn quan tâm: Tấn công Brute Force do Cyber Actors tiến hành
Cảm ơn các bạn đã theo dõi!
VCCloud via www.us-cert.gov
