NotPetya ser ud til at have spredt sig fra Ukraine via VPN

Der er endnu ikke fundet dokumentation for, at cyberangrebet er blevet spredt på andre måder end via opdateringsmekanismen i et stykke ukrainsk software.

Alt tyder lige nu på, at det opsigtsvækkende cyberangreb med malwaren NotPetya er startet i Ukraine og har spredt sig via VPN-forbindelser hos globale virksomheder som Mærsk, Merck, FedEx og WPP til kontorer i andre lande, heriblandt Danmark.

Ifølge Bitdefender, ESET, Kaspersky, Malwaretech og Microsoft er der ikke fundet klar dokumentation for, at malwaren skulle have spredt sig på andre måder end via opdateringsfunktionen i software fra ukrainske Medoc.

Medoc har selv afvist, at selskabets software skulle have noget med sagen at gøre, men ifølge sikkerhedsfirmaerne har NotPetya i hvert fald udnyttet en eksekverbar fil, som bruges af Medocs software til at installere opdateringer på Windows, til at afvikle selve malwaren, som i sig selv ikke blev downloadet som en eksekverbar fil.

Medocs software bruges af virksomheder og organisationer, som eksempelvis skal indberette skatteoplysninger i Ukraine, og softwaren betegnes visse steder som 'obligatorisk', hvis man vil drive forretning i Ukraine.

Dermed er det også sandsynligt, at de store globale virksomheder, som er blevet ramt, og alle har kontorer i Ukraine, også har benyttet softwaren. Malwaren kan således være kommet ind på en Windows-pc hos den ukrainske afdeling.

Spreder sig ved at stjæle identiteter

Når malwaren har inficeret en Windows-pc, så forsøger den at sprede sig over lokalnetværket via et Windows-sikkerhedshul, som også Wannacry udnyttede. I modsætning til Wannacry-ormen, så forsøger NotPetya ikke at inficere IP-adresser på internettet, men kigger kun på de maskiner, der findes på lokalnetværket.

Samtidig er den i stand til at stjæle identitetsoplysninger i hukommelsen på den inficerede Windows-maskine. Disse oplysninger bliver brugt til at forsøge at tilgå andre enheder på netværket, og hvis det lykkes, kan ormen sprede sig.

Det er altså muligt for en organisation at blive ramt, selvom sikkerhedshullet, som Wannacry også udnyttede, er lukket med den opdatering, Microsoft frigav i marts.

Det er således også muligt for NotPetya at sprede sig til andre afdelinger af en global virksomhed, hvis der eksempelvis er en VPN-forbindelse mellem lokalnetværket i den ukrainske afdeling og hovedsædet.

I forbindelse med angrebet har der også været meldinger om, at en offentlig hjemmeside i Ukraine skulle være blevet brugt som et 'watering hole' - altså et angreb, der går målrettet efter de brugere, som besøger en bestemt hjemmeside.

Det ser dog ud til at være en variant af den rigtige Petya-ransomware, som har været benyttet og ikke NotPetya, der skiller sig ud med en defekt krypteringsmekanisme og automatisk spredning.

Der har også været forlydender om spredning via e-mail, men det ser ud til at være en phishing-kampagne med en variant af ransomware-familien Loki, som blot tidsmæssigt er faldet sammen med NotPetya-angrebet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Maciej Szeliga

Fatter ikke hvorfor MS tillader at data krypteres uden at det er sat op af a administrator.

Måske en ide at lægge en lås ind her !?


Når man krypterer filer så "ser det ud" som en læsning og en skrivning hvordan skal man forhindre det ?

Jeg ved ikke helt hvordan NotPetya får lov til at kryptere filallokeringstabellen ... der får man normalt ikke lov til at skrive, det gør OS'et for en.

  • 8
  • 0
Bjarne Nielsen

En af de mere interessante ting ved denne hændelse er efter min mening, at man har brugt programopdatering som angrebsvektor.

Vi havde i foråret (eller var det tidligere?) en diskussion om upatchede IoT dimser og den robot-hær de kunne bringes til at udgøre - og dengang blev der (bl.a.) peget på tvunget og automatisk patching som modsvar.

Tænk lige på, hvor store ulykker man kunne lave, hvis producenter af usikre IoT dimser ikke formår at lave passende sikre implementationer af automatisk patching!

  • 6
  • 0
Povl H. Pedersen

Nej, krypteringen sker når der køres noget som en almindelig bruger ikke burde have skriveadgang til.

Skriveadgang til MBR og rå adgang til MFT burde ikke være rettigheder en standardbruger har. Så der er klart en fejl i Windows.

Der burde kun være adgang til filaccess gennem en ACL der som default beskytter kritiske systemkomponenter.

  • 0
  • 2
Michael Cederberg

Skal vi ikke gætte på at de har fundet et hul til at ændre MBR. Det er ikke noget processer normalt har lov til i Windows.

Hvis du havde læst en af de mange glimrende detaljerede beskrivelse af hvordan den virker, ville du vide at selve krypteringen ikke foregår mens maskinen kører Windows.

Men som jeg forstår det foregik ændringen af MBR inden operativsystemet bootede. Netop sådan at maskinen bootede til en stump malwarekode der visuelt lignede chkdsk.exe, men i stedet krypterede filerne. Er det en forkert forståelse af NotPetya?

  • 3
  • 0
Jesper Stein Sandal

Skriveadgang til MBR og rå adgang til MFT burde ikke være rettigheder en standardbruger har. Så der er klart en fejl i Windows.

Hej

Som PHK så rigtigt skriver, så er der flere gode beskrivelser (efterhånden har eksperterne fået pillet koden fra hinanden og er nået frem til en vis konsensus).

Der foregår to krypteringer:
Først krypteres filer af bestemte typer. Det sker med helt almindelige brugerrettigheder (som det ville på ethvert system). Dernæst forsøger malwaren at få admin-credentials. Hvis det lykkes, så går den videre til næste omgang.

Men den første kryptering efterlader sin egen ransom-note, som i modsætning til den, der vises efter genstarten faktisk indeholder den rigtige krypterede nøgle (og denne del af dekrypteringen ser ud til at kunne fungere).

https://labsblog.f-secure.com/2017/06/29/petya-i-want-to-believe/

Anden runde kommer ved en genstart (efter 10-60 minutter). Den bruger admin-rettigheder til at overskrive MBR. Ved opstart krypterer den filtabellen, og her gemmer den så ikke den rigtige nøgle til den Salsa-kryptering, som bruges.

https://blog.malwarebytes.com/threat-analysis/2017/06/eternalpetya-lost-...

Mvh.
Jesper

  • 5
  • 0
Sune Marcher

Skriveadgang til MBR og rå adgang til MFT burde ikke være rettigheder en standardbruger har. Så der er klart en fejl i Windows.


Det kræver så vidt jeg husker admin-rettigheder, men har du først lokale admin-rettigheder, så ejer du pretty much maskinen, anyway - er der nogen her der ville brokke sig over at root på unixlikes kan skrive til whatever block device?

Derudover: Restricted Direct Disk Access and Volume Access in Windows.

  • 2
  • 0
Gert Agerholm

Jeg skal ikke gøre mig specielt klog på disse ting, men jeg har i længere tid undret mig over sikkerhedsmodellen i Windows. Jeg har en mistanke om at brugerrettighederne ikke ligger i filsystemet men faktisk er et lag som ligger mellem selve filsystemet og brugerniveauet.

Årsagen her til er at hvis man tager en NTFS formateret harddisk og mounter i en Linux eller OSx, så har man adgang til ALT uden et eneste "login", brugeren i OS'et kan læse alt, lige gyldigt hvor stram rettighederne er sat.

For mig ser det ud til at rettighederne som sagt ikke ligger i filsystemet men et overliggende lag. Hvis det er muligt fra Linux og OSx, så vil ondsindet software nok også kunne gøre det samme.

  • 0
  • 1
Sune Marcher

Jeg skal ikke gøre mig specielt klog på disse ting, men jeg har i længere tid undret mig over sikkerhedsmodellen i Windows. Jeg har en mistanke om at brugerrettighederne ikke ligger i filsystemet men faktisk er et lag som ligger mellem selve filsystemet og brugerniveauet.


Not even wrong :-)

Brugerrettighederne ligger skam i filsystemet - men det er op til filsystemdriveren at overholde rettighederne. Det gælder også for macOS, Linux, BSD og ethvert andet operativsystem. Hvis du har fysisk adgang til disken, eller kan boote maskinen fra et USB-drev med et andet OS, eller har mulighed for at loade driverkode på det kørende OS, så kan du omgå normal access control.

Hvis du vil beskytte mod den slags, skal du anvende kryptering. Windows har out-of-the-box support for EFS, der er per-fil kryptering, samt full-disk kryptering med BitLocker eller 3rd-party software.

  • 5
  • 0
Gert Agerholm

Tak for svar.

Jeg kan godt se at det kræver kryptering for at kunne undgå situationen. Uden kryptering vil man altid kunne "samle sektorerne" så at tingene er læsbare. Har ikke tænkt tanken til ende. :-)

Man kunne måske lave "et hybrid system". Hvis man krypterede fil index'et kan man ikke læse "fil layout" uden dekryptering. Så er det ikke nødvendigt at kryptere filindhold.

  • 0
  • 0
Michael Cederberg

Man kunne måske lave "et hybrid system". Hvis man krypterede fil index'et kan man ikke læse "fil layout" uden dekryptering. Så er det ikke nødvendigt at kryptere filindhold.

Problemet omkring kryptering af filsystemer er hvor man gør af nøglen. Hvis man lægger den på harddisken, så giver krypteringen ingen sikkerhed. Man kan lægge den i computerens TPM modul og det giver nogen sikkerhed (men ikke så meget). Mest sikkert er det at placere nøglen udenfor computeren, fx i hovedet på brugeren, men hvem kan huske en 2048 bit nøgle (normalen er at master nøglen er til asymmetrisk kryptering, den bruges så til at finde en række nøgler til symmetrisk dekryptering).

Kryptering er ikke noget problem. Nøgle håndtering er det svære.

  • 4
  • 0
Erik Andersen

Hvorfor bliver man ved med at bruge disse dinosaur systemer, så som window , java, browsers, osv. De er blevet for uoverskuelige. Antallet af sikkerhedshuller er sikkert mere en proportionelt med mængden af kodelinjer.

Back to square one.

  • 0
  • 3
René Nielsen

Sikke en tone, hvor er dine konstruktive argumenter?
Generelt ebber de fleste kommentarer på V2 ud i en religionskrig.
Vil i for guds skyld (eller måske bare Bill Gates) ikke venligst lade værre med det! Det fører ingen vegne, det hverken konstruktivt eller et bud på en løsning, det rent heksejagt. Såfremt man ikke mener, en given platform er egnet til at udfører det arbejde den gør, må man først spørge sig selv, jamen hvorfor anvendes den så. Alle der der fanatisk til råber Windows alternativer, glemmer vist, at man flere steder i verden har haft det på tale eller direkte praksis, hvorefter det efter en årrække vender tilbage til samme som tidligere.

Den slags eksempler, statuere i nutidens teknologiske verden, hvad der egentlig er op og ned, ikke alt jeres teoretiske non-sense!

  • 0
  • 0
Log ind eller Opret konto for at kommentere