НОВОСТИ

“Petya” - ”NotPetya” reverse analysis

Malware used for Massive Coordinated Cyber Invasion in Ukraine

Дата публикации: 29.06.2017 21:34 | Категория: | Источник: http://issp.ua

Эксперты ISSP провели детальный реверс анализ вредоносного ПО, которое использовалось во время самой масштабной кибератаки в Украине.  

Это первый образец кибероружия, который одновременно использует такие инструменты как mimikatz, PsExec, wmic, уязвимости SMB, перезапись MBR, очистку логов, шифрование файлов. Мы считаем, что появление такого кибер-оружия служит очень тревожным сигналом того, что киберпространство становится настоящим полем битвы во всем мире.

При анализе образца эксперты ISSP обнаружили, что разработчики кибер-оружия разместили названия процессов запущенных антивирусов (Kaspersky, Norton Security или Symantec). Предположение о том, что разработчики вредоносного ПО не смогли обойти средства защиты антивирусов, которым соответствуют указанные выше имена процессов, не выглядит правдоподобным. Вопрос остается открытым, с какой целью была создана такая функциональность?

Также возможен вариант использования процессов с указанными именами в качестве «черных ходов» доступа к инфраструктуре (Sleeper Agent по терминологии модели ThreatSCALE™).

Возможно в следующих генерациях образцов будут размещены другие названия процессов.

 

Эксперты ISSP предполагают следующие основные цели этого масштабного воздействия:

- Стадия зачистки предыдущей атаки («Зачистка» по модели ThreatSCALE™)

- Демонстрация кибер-силы и подготовка к более масштабным кибер-атакам

- Тестирование нового кибер-оружия и возможностей систем кибербезопасности, особенно скорости реагирования на атаку и восстановления

- Подготовка к новым целевым и масштабным кибератакам

- Тестирование исполнения массовой целевой кибератаки с другими элементами гибридной войны

 

Ссылка на анализ здесь. 

UPD. Объяснение смены режимов работы образца в зависимости от полученных привилегий и запущенных процессов по ссылке.

 

Поиск по тегам:

СЛЕДУЮЩИЕ ШАГИ

Отправить запрос

ПОДПИСАТЬСЯ НА РАССЫЛКУ

Для подписки на новостной бюллетень
укажите адрес электронной почты