Blinkende ASCII-kranium afslører: NotPetya-bagmænd havde ikke Petya-kildekoden

Var NotPetya blot en ny variant i samme familie af ransomware, eller var det nogle andre, der stod bag? Et kig på den binære kode giver måske et svar.

Det er vanskeligt med sikkerhed at sige, hvem der stod bag sidste uges cyberangreb med malwaren NotPetya. Men et kig på, hvordan den er skruet sammen, kan sandsynligvis udelukke i hvert fald én mulig aktør.

Sikkerhedsekspert 'Hasherezade' har analyseret den eksekverbare kode i NotPetya for Malware Bytes og når frem til, at bagmændene formentlig ikke har haft adgang til den originale kildekode til ransomwaren Petya, som den ellers på mange punkter ligner.

Petya-ransomwaren har været kendt i mere end et år, og tilskrives en bagmand, som kaldes 'Janus'. Derfor kunne en nærliggende teori være, at NotPetya var det næste trin i en videreudvikling af denne familie.

En anden teori er, at nogen har taget Petya-ransomwaren og modificeret den, og undersøgelsen af den binære programfil ser ud til at understøtte denne teori.

Der er en række ændringer i forhold til den seneste kendte version af Petya, som er døbt GoldenEye. Mest åbenlyst, så viser Petya og GoldenEye et blinkende rødt kranium, skrevet med ASCII-tegn, på skærmen, når ransomwaren genstarter computeren.

Der ligger en funktion til at vise kraniet i både GoldenEye og NotPetya, men i NotPetya er kaldet til funktionen fjernet.

Læs også: NotPetya ser ud til at have spredt sig fra Ukraine via VPN

Det er imidlertid måden, dette kald er fjernet på, som er interessant. Det ser nemlig ud til, at det er sket ved at ændre manuelt i maskinkoden. Det vil sige at rette i den kompilerede kode.

Sammensat af forskellige stumper af malware

En måde at undersøge, om det kunne være tilfældet, er ved at se, om ændringerne viser tegn på at have været gennem en compiler. Compileren oversætter til maskinkode og laver samtidig en række optimeringer. Den fjerner eksempelvis dobbelte referencer, hvis de kan erstattes af en enkelt, og vil også ofte fjerne kode, der ikke bliver brugt.

I maskinkoden til NotPetya kan man ifølge Hasherezade se, at der stadig er en række af de optimeringer, man vil forvente fra compileren, men for nogle af de ting, der er ændret i forhold til originalen, så er der ikke de tilsvarende optimeringer.

Læs også: Sådan er NotPetya-malwaren skruet sammen

Den kode, som bruges til at tegne kraniet, ligger også stadig i koden, men bliver aldrig kaldt. Det er samtidig muligt at ændre maskinkoden tilbage igen, så kraniet igen bliver vist, også i NotPetya.

Alt dette tyder på, at den, der har lavet den malware, som vi kaldet NotPetya, ikke har haft adgang til Petyas kildekode. Samtidig fortæller det os, at dem, der har lavet NotPetya, har haft kompetencerne til at ændre i den compilerede kode.

NotPetya er sammensat af forskellige stumper af malware, heriblandt EternalBlue-exploitet mod Windows og altså en i forvejen kendt ransomware-familie. Det er uvist, hvorfor bagmændene har valgt at modificere lige netop Petya, hvor kildekoden ikke er lækket, i modsætning til en række andre ransomware-familier.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

Kunne en af hovedargumenter for netop at anvende ikke offentliggjort kildekode ikke være, at man forsøger at få det til at ligne det bagmændene der står bag, hvor det faktisk er en tredjepart?

Alternativt kan det være nogen har sat sig foran hele industrien og nu sælger ud til folk, som så skubber det igang, en slags white-label-distribution?

  • 0
  • 0
Log ind eller Opret konto for at kommentere