En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Styliste/Modéliste pour la création de croquis de prêt-à-porter féminin
    A déterminer €
    > En savoir plus
  • Production de vidéos motion design
    < 5 000 €
    > En savoir plus
  • Développeur Delphi pour de la maintenance
    < 10 000 €
    > En savoir plus
Universign_simplifiez process couts_leaderboard

Rançongiciel Petya : l’analyse de NetXP

Universign_maitrisez risques signature elec_pave

Rançongiciel Petya : les explications et conseils d’action de Vladimir Kolla, responsable de la Practice Sécurité chez l’ESN NetXP.

Hier, en début d’après-midi, de nombreux postes de travail et quelques serveurs se sont retrouvés bloqués, chiffrés par un nouveau rançongiciel (ransomware) qui pourrait être apparenté à Petya, déjà connu.

Vecteur d’infection

Contrairement au ver WannaCry qui se contentait d’infecter les cibles accessibles avec le protocole de partage de fichiers de Microsoft, SMB, cette fois-ci, il semblerait qu’une campagne de phishing soit à l’origine de l’infection avec parmi les sources identifiées, l’adresse mail wowsmith123456@posteo.net .
Cela demande encore confirmation, mais l’infection débuterait par une classique pièce jointe Office (myguy.xls, Order-20062017.doc…) exploitant la vulnérabilité CVE-2017-0199 et dans des fichiers RTF.

CVE-2017-0199

RTF (Rich Text Format) est un vieux format de document de Microsoft, toujours supporté par Word mais avec la particularité d’être, un peu comme HTML, un langage de mise en forme, contenant du texte, des images…
Voici un exemple simpliste de document RTF affichant « NetXP » :
{\rtf1\ansi\deff0

{\colortbl;\red0\green0\blue0;\red255\green0\blue0;}

NetXP\line
}

La vulnérabilité, découverte par FireEye en début d’année et corrigée en avril, permet de contourner le mode protégé d’Office (mode protégé), non pas en exécutant une macro, mais en permettant d’activer un objet OLE, directement à l’ouverture du document, sans la moindre alerte. Il devient alors possible de faire appel à un objet OLE allant télécharger quelque chose sur Internet et c’est ce que fait ce nouveau ver : il va télécharger un fichier HTA pour HTML Application, permettant d’exécuter le vrai code malveillant et ainsi de prendre le contrôle de l’ordinateur.
De nombreux outils ont fait leur apparition, permettant de créer son propre document malveillant exploitant cette vulnérabilité :

  • Ici, sur github
  • Dans MetaSploit : exploit/windows/fileformat/officewordhta

Pour faire simple : l’utilisateur ouvre un document Word ou Excel envoyé en pièce jointe d’un mail, sans aucune alerte ni blocage, Word ou Excel va télécharger le fichier HTA sur un des sites ci-dessous, puis l’exécuter.

Pivot

Une fois le poste infecté, après certaines étapes non encore identifiées, le ver essaie de se propager sur le réseau (pivot latéral).
Incorporant des morceaux de l’outil Mimikatz, il est capable de récupérer des éléments d’authentification en mémoire et de les réutiliser avec le protocole de gestion Microsoft WMI pour s’exécuter sur une autre cible (lire ce tweet).

Parmi les chaines de caractères présentes dans le ver, on peut trouver des lignes de commande WMIC avec les paramètres permettant l’exécution à distanceauthentifiée :

-d C:\Windows\System32\rundll32.exe « C:\Windows\%s »,#1

wbem\wmic.exe
%s /node: »%ws » /user: »%ws » /password: »%ws » process call create « C:\Windows\System32\rundll32.exe \ »C:\Windows\%s\ » #1 \\%s\admin$ \\%ws\admin$\%ws

Il incorpore également l’outil de Microsoft « Sysinternals PsExec » pour tenter de progresser sur le réseau, tout comme nous l’utilisons parfois lors d’audits.
Enfin, il semblerait qu’il tente d’exploiter la vulnérabilité sur le protocole de partage de fichier de Microsoft « SMB », déjà exploitée par le rançongiciel de mars (WannaCry) et donc corrigée par le bulletin MS17-010.

Par contre, toujours pas d’information sur une possible élévation de privilège local ou un contournement de l’UAC ni sur la présence d’une « time bomb ».

Time bomb ?

Bien que non encore confirmé, l’apparition en même temps sur de nombreux ordinateurs d’entreprises différentes laisse penser à la présence d’une « time bomb », c’est-à-dire l’infection de la cible mais la mise en sommeil de la charge active jusqu’à la date fatidique de l’activation.
Ce point reste donc à confirmer ou infirmer.

« Kill Switch »

Les exemples du virus analysés cherchent la présence d’une librairie dans le répertoire c:\windows, indiquant que la cible est déjà compromise.
A lire ici et ici.
Je n’ai pas trouvé de façon sûre ce nom, mais il semblerait que cela soit c:\windows\core.dll ou c:\windows\perfc.dat ou C:\windows\perfc
C’est étrange que le nom soit en dur dans le code et ne soit pas lié à l’environnement infecté.

Il serait envisageable de déployer en urgence (par GPO par exemple) des fichiers vides nommés comme ci-dessus pour parer à toute infection supplémentaire, mais je doute que cela soit efficace très longtemps.

Bitcoins

Le portefeuille Bitcoin des criminels est celui-ci.
A cet instant, les criminels ont récupéré 3.155 bitcoins, c’est-à-dire 6680 euros

IoC

Voici quelques adresses IP liées à ce virus. Il peut être intéressant de regarder dans ses logs Proxy et Firewall si des accès ont été réalisés :
185.165.29.78
84.200.16.242
111.90.139.247
95.141.115.108 (Correspondant au domaine french-cooking.com )

Certains mails seraient envoyés depuis l’adresse suivante : wowsmith123456@posteo.net

Le Github de « Vulners Team » inclut un certain nombre d’autres éléments techniques.

 

plusA lire aussi : Cyberattaque mondiale : un site web ukrainien est l’une des sources de l’infection, selon Kaspersky

Cyberattaque mondiale : comment se protéger ?

Rançongiciel Petya : l’analyse de NetXP
5 (100%) 1 vote

Laisser un commentaire

Gestion des Identités et des Accès : conférence 7 décembre

Journée de conférence et d’échanges sur les nouvelles tendances IAM/IAG/DAG. Un florilège de sessions enrichissantes, animées par les plus grands experts Témoignage Client d’un très large déploiement IAM La Gestion des Identités et des Accès dans le Cloud etc - Hotel Peninsula, Paris.

Info et inscription

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Avantages fiscaux d'Apple et d'Amazon : Bercy soutient les décisions de la Commission européenne

    Dans une déclaration commune, Bruno Le Maire, Gérald Darmanin et Mounir Mahjoubi se réjouissent des…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Vidéo - L'Assistance Publique des Hôpitaux de Marseille organise sa gestion de crise

    Pour Philippe Tourron, le RSSI de l’APHM, réagir vite en cas de crise est primordial. …

    > En savoir plus...
Etudes/Enquêtes
  • 2016 -2017 : des attaques par courrier électronique en augmentation de 2 200 %

      Chaque année, le troisième trimestre se révèle une période de recrudescence des messages frauduleux,…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global Knowledge_Docker_Skycraper
Agenda
livres blancs
Les Livres
Blancs
banniere_FIC2018_skycrapper