Petya - lại một hệ quả nữa từ bộ tool hack của NSA

Thảo luận trong 'Exploitation' bắt đầu bởi tmnt53, 28/06/17, 10:06 AM.

  1. tmnt53

    tmnt53 VIP Members

    Tham gia: 25/04/15, 09:04 AM
    Bài viết: 127
    Đã được thích: 98
    Điểm thành tích:
    28
    Petya là một con ransomware mới đang lây nhiễm rất nhanh, cũng sử dụng Eternalblue để lây nhiễm như con WannaCry. Hiện tại nó đã lây nhiễm vào rất nhiều hệ thống, kể cả tàu không gian :v
    19429741_1474279629302573_5589825653283600384_n.png
    Đây là một phiên bản Petya mới, phiên bản cũ 2016 của Petya có thể lấy tại: https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Ransomware.Petya
    Video về mẫu năm 2016 của Petya:

    Khi lây nhiễm vào máy nạn nhân, Petya sẽ reboot lại máy tính, mã hóa MFT (Master File Table) và thay đổi MBR (Master Boot Record), khiến cho máy tính hoàn toàn không khởi động được, mất hết các thông tin meta về các file trong ổ cứng: tên file, kích thước, vị trí trên ổ cứng.

    Theo Hackernews, Petya lây nhiễm sử dụng 3 phương thức:
    • CVE-2017-0199
    • MS17-010 (EternalBlue)
    • PSEXEC và auth-reuse

    CVE-2017-0199
    Petya trước tiên được phát tán qua CVE-2017-0199. Đây là CVE mới, nghiêm trọng nhất trên Word cho tới thời điểm này (mọi phiên bản Word 2016 trở về trước, chưa vá đều bị dính; https://whitehat.vn/threads/khai-thac-lo-hong-hta-cve-2017-0199-trong-microsoft-office.8684/). Do vậy, chúng ta phải:
    • Cẩn trọng trước các văn bản Word (execel, doc, rtf,…) không rõ nguồn gốc.
    • Nếu có thể, hãy update Word để không bị dính CVE này.
    • Cài đặt phần mềm diệt virus. Hiện tại, các AV nổi tiếng đều nhận diện tốt mẫu này.

    MS17-010
    Đây chính là phương thức lây nhiễm giống như WannaCry, một CVE của dịch vụ SMBv1 trên Windows. Khi Petya vào được một máy, nó sẽ lây nhiễm vào các máy khác trong mạng LAN qua lỗ hổng này. Do đó, cũng như WannaCry, để phòng chống trước lỗ hổng này, ta cần (https://whitehat.vn/threads/cach-va-lo-hong-windows-ngan-ngua-wannacry-ransomware.8831/):
    • Update Windows để vá lỗ hổng.
    • Hoặc disable SMBv1.

    PSEXEC và auth-reuse.
    Phương pháp lây nhiễm này vẫn còn chưa rõ ràng, các chuyên gia vẫn đang phân tích mẫu. Khi lây nhiễm vào một máy trong mạng, ngoài MS17-010, Petya có thể lây nhiễm tiếp qua các máy khác trong mạng bằng auth-reuse. Hiện mình chưa rõ phương pháp lây nhiễm này của Petya, nhưng theo như các chuyên gia, ngay cả các máy đã được update full vẫn có thể bị lây sang.

    Tóm lại, cách an toàn nhất là:
    • Update full windows.
    • Cài phần mềm diệt Virus.
    Chúc máy tính các bạn an toàn!

    Link tham khảo:
     
    Chỉnh sửa cuối: 28/06/17, 04:06 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    blackarch, nktung, Sugi_b3o and 3 others like this.
  2. PhamTheThao

    PhamTheThao W-------

    Tham gia: 19/09/14, 01:09 PM
    Bài viết: 20
    Đã được thích: 6
    Điểm thành tích:
    3
    Wanna chưa qua
    Petya đã tới :))
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. sunny

    sunny VIP Members

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,830
    Đã được thích: 860
    Điểm thành tích:
    113
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan