Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Close look at Nyetya investigation Volodymyr Ilibman Cisco Ukraine
О чем будем говорить • Расследование • Анализ поведения Nyetya • Выводы и стратегии предотвращения
Хронология событий 27 июня Стали приходить первые сообщения о заражении 11:00 – 12:00 Массовые заражения (между 12.00 и...
Сэмпл был перехвачен в 12:54 у одного из клиентов
Было замечено очень быстрое распространение по сети через SMB
Распространение занимало 10-30 минут
Хронология событий 27 июня Стали приходить первые сообщения о заражении 11:00 – 12:00 Массовые заражения (между 12.00 и...
Вечером 29 июня в Киев прибыла команда реагирования Cisco для помощи Talos-у на месте
M.e.Doc Connection
The Backdoor Contacts upd.me-doc.com.ua every 2 mins If finds a proxy: Retrieve email data from local me-doc Wait for & ex...
M.e.Doc Connection
Restoring Connections
Анализ поведения Nyetya
Propagation ETERNALBLUE Scans IP subnet 139 TCP Perfc.dat PSEXEC WMI ETERNALROMANCE
Malware Credential Stealing • Command line – Modified version of Mimikatz pen testing tool. – Credentials passed over a na...
Propagation Perfc.dat If MS17-010 not applied: Trigger EB or ER exploits. Installs modified DP backdoor. Installs perfc.da...
Propagation Perfc.dat PSEXEC Drops PsExec as dllhost.dat. Uses stolen user token. Connects to new machine (IP: w.x.y.z). I...
Propagation Perfc.dat WMI Uses stolen username & password. Connects to new machine (IP: w.x.y.z). Installs perfc.dat, exec...
Encryption Process Schedule reboot in 1hr Encrypts files RSA 2048 Escalate privileges of current user Encrypts MBR (if adm...
Payload
Genuine Ransomware? § Single bitcoin wallet means difficult to follow who has paid. § Single contact email address, now bl...
Связной M.E.Doc Полный отчет Eng: http://blog.talosintelligence.com/2017/07/the-medoc-connection.html Укр: http://www.cisc...
Cisco Talos: “Злоумышленники отказались то возможности доставлять любой код в 80% вредоносных компаний, которые используют...
Мифы, развенчанные атакой 1. Обновлений Windows хватает для защиты 2. Антивирусы с эвристикой могут предотвратить зараже...
WHAT COULD HAVE BEEN DONE DIFFERENTLY? 1. Secure Development Lifecycle
WHAT COULD HAVE BEEN DONE DIFFERENTLY? 2. Threat Information Exchange
WHAT COULD HAVE BEEN DONE DIFFERENTLY? 3. Защитить себя
WHAT COULD HAVE BEEN DONE DIFFERENTLY? § Patching § Least Functionality § Least Privilege § System and Network Monitoring ...
Безопасность серверных и клиентских ОС ....Patching and upgrades should be prioritized on these systems and customers shou...
Безопасность серверных и клиентских ОС Безопасность ОС + Ограничение/разграничение доменных полномочий + Создание белых/че...
Снижение рисков Supply Chain • Идентификация сервисов сторонних компаний и самописаного ПО • Выделение сервисов в отдел...
• Разбить сеть на сегменты (DC, филиалы, внешние сервисы, партнеры…) • Ограничить или запретить трафик между сегментами ...
Подход DefCon в применении политик безопасности Политики в зависимости от уровня угрозы
Подготовить и проверить планы реагирования /Disaster Recovery/BCP
Stay Informed Spreading security news, updates, and other information to the public ThreatSource Newsletter cs.co/TalosUpd...
www.talosintelligence.com blog.talosintel.com @talossecurity
Upcoming SlideShare
Loading in …5
×
Technology
310 views
Sep. 11, 2017

Volodymyr Ilibman - Close Look at Nyetya Investigation

First-hand experience shared by the guy who has been a part of the June, 27 attack investigation and response from the very beginning.

no profile picture user

  • Login to see the comments

Volodymyr Ilibman - Close Look at Nyetya Investigation

  1. 1. Close look at Nyetya investigation Volodymyr Ilibman Cisco Ukraine
  2. 2. О чем будем говорить • Расследование • Анализ поведения Nyetya • Выводы и стратегии предотвращения
  3. 3. Хронология событий 27 июня Стали приходить первые сообщения о заражении 11:00 – 12:00 Массовые заражения (между 12.00 и 16.00) 17:50 Первые результаты исследований Talos опубликованы в блоге 21:33. Первое официальное упоминание о векторе заражения
  4. 4. Сэмпл был перехвачен в 12:54 у одного из клиентов
  5. 5. Было замечено очень быстрое распространение по сети через SMB
  6. 6. Распространение занимало 10-30 минут
  7. 7. Хронология событий 27 июня Стали приходить первые сообщения о заражении 11:00 – 12:00 Массовые заражения (между 12.00 и 16.00) 17:50 Первые результаты исследований Talos опубликованы в блоге 21:33. Первое официальное упоминание о векторе заражения
  8. 8. Вечером 29 июня в Киев прибыла команда реагирования Cisco для помощи Talos-у на месте
  9. 9. M.e.Doc Connection
  10. 10. The Backdoor Contacts upd.me-doc.com.ua every 2 mins If finds a proxy: Retrieve email data from local me-doc Wait for & execute commands These commands almost certainly used to distribute Nyetya.
  11. 11. M.e.Doc Connection
  12. 12. Restoring Connections
  13. 13. Анализ поведения Nyetya
  14. 14. Propagation ETERNALBLUE Scans IP subnet 139 TCP Perfc.dat PSEXEC WMI ETERNALROMANCE
  15. 15. Malware Credential Stealing • Command line – Modified version of Mimikatz pen testing tool. – Credentials passed over a named pipe. • Malware collects stolen credentials as it propagates. • Collects users token via Windows API. rundll32.exe C:Windowsperfc.dat,#1 60 "username:password” C:WINDOWSTEMP561D.tmp, .pipe{C1F0bf2d-8c17-4550-af5a-65a22c61739c}
  16. 16. Propagation Perfc.dat If MS17-010 not applied: Trigger EB or ER exploits. Installs modified DP backdoor. Installs perfc.dat, executes as a dll. DoublePulsar – modified command codes modified response codes modified response location in SMB packet ETERNALBLUE ETERNALROMANCE MODIFIED DOUBLEPULSAR
  17. 17. Propagation Perfc.dat PSEXEC Drops PsExec as dllhost.dat. Uses stolen user token. Connects to new machine (IP: w.x.y.z). Installs perfc.dat, executes as a dll. C:WINDOWSdllhost.dat w.x.y.z -accepteula -s -d C:WindowsSystem32rundll32.exe C:Windowsperfc.dat,#1
  18. 18. Propagation Perfc.dat WMI Uses stolen username & password. Connects to new machine (IP: w.x.y.z). Installs perfc.dat, executes as a dll. Wbemwmic.exe /node:"w.x.y.z" /user:"username" /password:"password" "process call create "C:WindowsSystem32rundll32.exe "C:Windowsperfc.dat" #1"
  19. 19. Encryption Process Schedule reboot in 1hr Encrypts files RSA 2048 Escalate privileges of current user Encrypts MBR (if administrator) Final log clean up ETERNALBLUE PSEXEC WMI ETERNALROMANCE
  20. 20. Payload
  21. 21. Genuine Ransomware? § Single bitcoin wallet means difficult to follow who has paid. § Single contact email address, now blocked § you can’t contact the criminals even if you want to. § If admin, MBR is overwritten. § If MBR not overwritten, wipes first 10 disk sectors. § If have software “avp.exe” running, wipes first 10 disk sectors.
  22. 22. Связной M.E.Doc Полный отчет Eng: http://blog.talosintelligence.com/2017/07/the-medoc-connection.html Укр: http://www.cisco.com/c/dam/global/ru_ua/solutions/security/ransomware /pdfs/cisco_blog_ransomware_attack_ua_upd4-graphics.pdf
  23. 23. Cisco Talos: “Злоумышленники отказались то возможности доставлять любой код в 80% вредоносных компаний, которые используют M.E.Doc. Маловероятно терять доступ такого уровня без уверенности, что можно получить аналогичный доступ с высоким приоритетом в будущем Один из выводов
  24. 24. Мифы, развенчанные атакой 1. Обновлений Windows хватает для защиты 2. Антивирусы с эвристикой могут предотвратить заражение 3. Файервол cпособен в одиночку остановить распространение вирусов 4. Пользователь - самое слабое звено 5. Все беды из-за фишинга
  25. 25. WHAT COULD HAVE BEEN DONE DIFFERENTLY? 1. Secure Development Lifecycle
  26. 26. WHAT COULD HAVE BEEN DONE DIFFERENTLY? 2. Threat Information Exchange
  27. 27. WHAT COULD HAVE BEEN DONE DIFFERENTLY? 3. Защитить себя
  28. 28. WHAT COULD HAVE BEEN DONE DIFFERENTLY? § Patching § Least Functionality § Least Privilege § System and Network Monitoring § Network Segmentation § Processes and Policies http://blog.talosintelligence.com/2017/08/worm-defense.html Back to Basics: Worm Defense in the Ransomware Age
  29. 29. Безопасность серверных и клиентских ОС ....Patching and upgrades should be prioritized on these systems and customers should move to transition these systems to Windows 10, following the guidance from Microsoft on securing those systems… Cisco TALOS The MEDoc Connection Безопасность ОС Windows 10, Mac и Linux не являются панацеей
  30. 30. Безопасность серверных и клиентских ОС Безопасность ОС + Ограничение/разграничение доменных полномочий + Создание белых/черных списков процессов + Мониторинг использования системных и сетевых ресурсов + Двухфакторная аутентификация + Использование систем Breach Detection Systems / EDR/ “песочниц” …..
  31. 31. Снижение рисков Supply Chain • Идентификация сервисов сторонних компаний и самописаного ПО • Выделение сервисов в отдельную зону(ы) безопасности • Сегментация и минимизация полномочий Supply-Chain
  32. 32. • Разбить сеть на сегменты (DC, филиалы, внешние сервисы, партнеры…) • Ограничить или запретить трафик между сегментами (включая TCP 139/445) • Новое направление - микросегментация Сегментация внутренней сети Ограничить сферу распространения malware Сегментация
  33. 33. Подход DefCon в применении политик безопасности Политики в зависимости от уровня угрозы
  34. 34. Подготовить и проверить планы реагирования /Disaster Recovery/BCP
  35. 35. Stay Informed Spreading security news, updates, and other information to the public ThreatSource Newsletter cs.co/TalosUpdate Social Media Posts Facebook: TalosGroupatCisco Twitter: @talossecurity White papers, articles, & other information talosintelligence.com Talos Blog blog.talosintelligence.com Instructional Videos cs.co/talostube
  36. 36. www.talosintelligence.com blog.talosintel.com @talossecurity

×