SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our User Agreement and Privacy Policy.
SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our Privacy Policy and User Agreement for details.
Successfully reported this slideshow.
Activate your 14 day free trial to unlock unlimited reading.
Volodymyr Ilibman - Close Look at Nyetya Investigation
Volodymyr Ilibman - Close Look at Nyetya Investigation
1.
Close look at Nyetya investigation
Volodymyr Ilibman
Cisco Ukraine
2.
О чем будем говорить
• Расследование
• Анализ поведения Nyetya
• Выводы и стратегии предотвращения
3.
Хронология событий 27 июня
Стали приходить
первые сообщения о
заражении
11:00 – 12:00
Массовые заражения
(между 12.00 и 16.00)
17:50 Первые
результаты
исследований Talos
опубликованы в блоге
21:33. Первое
официальное
упоминание о векторе
заражения
4.
Сэмпл был перехвачен в 12:54 у одного из
клиентов
5.
Было замечено очень быстрое распространение
по сети через SMB
7.
Хронология событий 27 июня
Стали приходить
первые сообщения о
заражении
11:00 – 12:00
Массовые заражения
(между 12.00 и 16.00)
17:50 Первые
результаты
исследований Talos
опубликованы в блоге
21:33. Первое
официальное
упоминание о векторе
заражения
8.
Вечером 29 июня в Киев прибыла команда
реагирования Cisco для помощи Talos-у на месте
10.
The Backdoor
Contacts upd.me-doc.com.ua every 2 mins
If finds a proxy:
Retrieve email data from local me-doc
Wait for & execute commands
These commands almost certainly used to
distribute Nyetya.
15.
Malware Credential Stealing
• Command line
– Modified version of Mimikatz pen testing tool.
– Credentials passed over a named pipe.
• Malware collects stolen credentials as it propagates.
• Collects users token via Windows API.
rundll32.exe C:Windowsperfc.dat,#1 60 "username:password”
C:WINDOWSTEMP561D.tmp, .pipe{C1F0bf2d-8c17-4550-af5a-65a22c61739c}
16.
Propagation
Perfc.dat
If MS17-010 not applied:
Trigger EB or ER exploits.
Installs modified DP backdoor.
Installs perfc.dat, executes as a dll.
DoublePulsar – modified command codes
modified response codes
modified response location in SMB packet
ETERNALBLUE
ETERNALROMANCE
MODIFIED
DOUBLEPULSAR
17.
Propagation
Perfc.dat
PSEXEC
Drops PsExec as dllhost.dat.
Uses stolen user token.
Connects to new machine (IP: w.x.y.z).
Installs perfc.dat, executes as a dll.
C:WINDOWSdllhost.dat w.x.y.z -accepteula -s -d
C:WindowsSystem32rundll32.exe C:Windowsperfc.dat,#1
18.
Propagation
Perfc.dat
WMI
Uses stolen username & password.
Connects to new machine (IP: w.x.y.z).
Installs perfc.dat, executes as a dll.
Wbemwmic.exe /node:"w.x.y.z" /user:"username" /password:"password"
"process call create "C:WindowsSystem32rundll32.exe
"C:Windowsperfc.dat" #1"
19.
Encryption Process
Schedule reboot in 1hr
Encrypts files
RSA 2048
Escalate privileges of current user
Encrypts MBR
(if administrator)
Final log clean up
ETERNALBLUE
PSEXEC
WMI
ETERNALROMANCE
21.
Genuine Ransomware?
§ Single bitcoin wallet means difficult to follow who has paid.
§ Single contact email address, now blocked
§ you can’t contact the criminals even if you want to.
§ If admin, MBR is overwritten.
§ If MBR not overwritten, wipes first 10 disk sectors.
§ If have software “avp.exe” running, wipes first 10 disk sectors.
22.
Связной M.E.Doc
Полный отчет
Eng:
http://blog.talosintelligence.com/2017/07/the-medoc-connection.html
Укр:
http://www.cisco.com/c/dam/global/ru_ua/solutions/security/ransomware
/pdfs/cisco_blog_ransomware_attack_ua_upd4-graphics.pdf
23.
Cisco Talos: “Злоумышленники отказались то возможности доставлять любой код в
80% вредоносных компаний, которые используют M.E.Doc. Маловероятно терять
доступ такого уровня без уверенности, что можно получить аналогичный доступ с
высоким приоритетом в будущем
Один из выводов
24.
Мифы, развенчанные атакой
1. Обновлений Windows хватает для
защиты
2. Антивирусы с эвристикой могут
предотвратить заражение
3. Файервол cпособен в одиночку
остановить распространение
вирусов
4. Пользователь - самое слабое звено
5. Все беды из-за фишинга
25.
WHAT COULD HAVE BEEN DONE
DIFFERENTLY?
1. Secure Development Lifecycle
26.
WHAT COULD HAVE BEEN DONE
DIFFERENTLY?
2. Threat Information Exchange
27.
WHAT COULD HAVE BEEN DONE
DIFFERENTLY?
3. Защитить себя
28.
WHAT COULD HAVE BEEN DONE
DIFFERENTLY?
§ Patching
§ Least Functionality
§ Least Privilege
§ System and Network Monitoring
§ Network Segmentation
§ Processes and Policies
http://blog.talosintelligence.com/2017/08/worm-defense.html
Back to Basics: Worm Defense in the Ransomware Age
29.
Безопасность серверных и клиентских ОС
....Patching and upgrades should
be prioritized on these systems
and customers should move to
transition these systems to
Windows 10, following
the guidance from Microsoft on
securing those systems…
Cisco TALOS
The MEDoc Connection
Безопасность ОС
Windows 10, Mac и Linux не являются панацеей
30.
Безопасность серверных и клиентских ОС
Безопасность ОС
+ Ограничение/разграничение доменных полномочий
+ Создание белых/черных списков процессов
+ Мониторинг использования системных и сетевых ресурсов
+ Двухфакторная аутентификация
+ Использование систем Breach Detection Systems / EDR/ “песочниц”
…..
31.
Снижение рисков Supply Chain
• Идентификация сервисов
сторонних компаний и
самописаного ПО
• Выделение сервисов в
отдельную зону(ы) безопасности
• Сегментация и минимизация
полномочий
Supply-Chain
32.
• Разбить сеть на сегменты (DC, филиалы, внешние сервисы,
партнеры…)
• Ограничить или запретить трафик между сегментами (включая
TCP 139/445)
• Новое направление - микросегментация
Сегментация внутренней сети
Ограничить сферу распространения malware
Сегментация
33.
Подход DefCon в применении политик безопасности
Политики в зависимости от уровня угрозы
34.
Подготовить и проверить планы реагирования
/Disaster Recovery/BCP
35.
Stay Informed
Spreading security news, updates, and
other information to the public
ThreatSource Newsletter
cs.co/TalosUpdate
Social Media Posts
Facebook: TalosGroupatCisco
Twitter: @talossecurity
White papers, articles, & other information
talosintelligence.com
Talos Blog
blog.talosintelligence.com
Instructional Videos
cs.co/talostube