Вірус Petya: захист, поширення та відміну від Wannacry

Як відомо, деякі клієнти Microsoft по всьому світу стали жертвами програми-шантажиста Petya (Petya/Misha, ExPetr, NotPetya). Це шкідливе ПЗ отримало велику кількість різноманітних назв, багато з яких тим чи іншим чином пов’язані з Petya.
Причина цієї плутанини пов’язана з тим, що оригінальний вірус-шифрувальник під назвою Petya з’явився в 2016 році. Той примірник представляв собою класичну програму-вимагач і не міг поширюватися без участі користувача. Ключова відмінність нинішньої програми-шантажиста від інших у тому, що при певних обставинах вірусу не потрібна допомога жертви для ініціації зараження.
Це вже другий випадок такого масштабу у світі за останній час, попередній вірус Wannacrypt (Wannacry) також використовував канал поширення, не вимагає залучення користувача та інфікував комп’ютери без встановлених оновлень безпеки. Детальний опис природи і механіки роботи Wannacrypt можна отримати у блозі Microsoft. Далі ви знайдете ключову інформацію щодо вірусу Petya.
Вірус Petya, на відміну від Wannacrypt, використовує додаткові канали розповсюдження. На даний момент встановлено, що вірус:
Може розповсюджуватися по електронній пошті. В даному випадку зазвичай використовуються прийоми соціальної інженерії, щоб переконати користувача відкрити шкідливі вкладення.
Використовує ту ж саму уразливість, що і Wannacrypt для поширення по мережі через протокол SMB (якщо оновлення MS17-010 не встановлено)
Потрапляючи на один з комп’ютерів організації, переміщується методом lateral movement краде доступні в пам’яті паролі доменних облікових записів і використовує їх для доступу до сусідніх комп’ютерів.
Ще один цікавий момент полягає в тому, що на думку дослідників (включаючи Microsoft), початок атаки сприяв виробник бухгалтерського програмного забезпечення M.E.Doc. Аналітики вважають, що первинне розповсюдження вірусу було здійснено через автоматичне оновлення для ПО M.E.Doc з серверів оновлень цього виробника.
Основні причини зараження та методи боротьби з Petya
На момент публікації невідомі деталі атаки на інфраструктуру оновлення компанії M.E.Doc так само, як і немає остаточного підтвердження, що саме підсистема оновлень даної компанії причетна до первинного поширення вірусу. Тим не менш, якщо припустити, що атака дійсно була організована через порушення цілісності ланцюжка поставок (software supply chain), то в якості основної причини можна назвати недотримання основних принципів безпечної розробки і захисту процесу постачань. Боротися з такими погрозами кінцевим споживачам проблематично, адже, що встановлюється, по суті, є довіреною. Тим не менш, можливості Windows Defender 10 Advanced Threat Protection (ATP) дозволяють виявити компрометацію і зупинити поширення всередині мережі компанії.
Поштовий канал розповсюдження Petya
Канал розповсюдження шкідливих програм через пошту є типовим для більшості атак за допомогою соціальної інженерії де можна спровокувати користувача необережні дії і таким чином скомпрометувати його систему. Даний спосіб поширення Petya повинен бути знайомим більшості фахівців, як і способи протидії: навчання користувачів і сучасні засоби фільтрації вхідної пошти, додатково до класичних інструментів антивірусного аналізу і антиспаму рекомендується використовувати так звані «пісочниці» (sandbox) або «камери детонації» (detonation chamber). Сервіс Office365 ATP це хмарна реалізація технології «пісочниці». Сервіс перевіряє на підозрілу поведінку всі вкладення і посилання, які передаються поштою. Перші кілька годин поширення Petya далеко не всі антивіруси могли ідентифікувати загрозу, на відміну від механізму «пісочниці», який реєстрував підозрілу поведінку і блокував подальше пересилання вкладення листа.
Сучасні засоби захисту приділяють аналізу поведінки велику увагу, інший сервіс Windows Defender 10 ATP реалізує даний підхід вже на рівні вузла мережі. Даний рівень захисту необхідний на той випадок, коли шкідливе ПЗ не зміг прорватися через всі кордони і запуститися на робочій станції користувача. Аналізуючи поведінку системних процесів, стан пам’яті, зміни ключів реєстру, звернень до файлової системи і багатьох інших параметрів Windows Defender 10 ATP допомагає виявити спроби або факт компрометації на ранніх стадіях.
Уразливість SMBv1
Другий спосіб поширення вірусу полягає в експлуатації виявлених раніше недоліків у протоколі SMBv1. Цю уразливість вже використав Wannacry раніше, і багато учасників ринку надали докладні рекомендації щодо захисту від такого способу проникнення. Звичайно ж, самий вірний спосіб це своєчасне оновлення, які були випущені навіть для систем, які вже вийшли з циклу підтримки. Але є й інші рекомендації, такі як відключення SMBv1 взагалі (дана рекомендація була опублікована ще влітку 2016 року) і налаштування локальних міжмережевих екранів для обмеження комунікацій робочих станцій між собою (такий підхід значно сповільнить поширення вірусу навіть у середовищі без встановлених оновлень). Для того, щоб оперативно відслідковувати поточний стан захисту вашої інфраструктури та зміна параметрів, пов’язаних з безпекою, можна використовувати сервіс Operation Management Suite. До речі, засіб захисту хоста, яке працює коректно, може виявити появу вірусу на машині навіть при використанні вірусом вищезгаданої уразливості. Класичні антивіруси отримали таку можливість відразу після внесення виробниками відповідних сигнатур, а ось система аналізу поведінки Windows Defender 10 ATP могла допомогти на ранніх стадіях поширення, коли ще не було відповідних сигнатур в антивірусних базах. Інший ефективний запобіжний засіб для Petya і багатьох інших шкідливих програм обмеження додатків, що запускаються в ОС, наприклад, з допомогою механізму Windows 10 Device Guard.