28 juin 2017

Ce Mardi 27 juin, vous n’avez pas pu le louper, il y a eu à nouveau une infection qui a fait très grand bruit, partout dans le monde.
Cette infection a démarré en Europe de l’Est, puis s’est propagée jusqu’en Europe de l’Ouest, pour continuer sa course jusqu’aux US en fin d’après-midi, bloquant divers hôpitaux, magasins (caisses enregistreuses), transporteurs de fonds. Allant même jusqu’à bloquer la prise de mesures de radioactivité à Tchernobyl.

Il n’aura pas fallu attendre longtemps pour que le monde s’affole.

Alors, Petya: nouvelle grosse attaque ou pétard mouillé?

WannaCry : Souvenir d’une relation douloureuse.

WannaCry utilisait une exploit nommée EternalBlue, utilisant le protocole SMBv1. L’idée de cette attaque était d’infecter les systèmes vulnérables et de les chiffrer  en demandant une rançon. De plus, ce petit malware arrivait à se propager à travers Internet. Un effet boule-de-neige extrêmement violent.

WannaCry a été stoppé grâce à ce que l’on appelle un Kill-Switch. C’est-à-dire une action unique qui a eu pour conséquence d’arrêter complètement la propagation, pour tout le monde.

Le kill-switch de WannaCry a été trouvé par hasard.
En lisant le code du malware, un jeune Britannique découvre que le Malware envoyait une requête DNS vers un nom de domaine inexistant. Si, lors de l’infection, le poste corrompu n’arrivait pas à résoudre ce nom de domaine, ce dernier se retrouvait chiffré.
La solution a été d’acheter ce nom de domaine. Par la suite, les postes infectés arrivaient à résoudre le nom de domaine, et l’attaque s’arrêtait.
“Mais dis-moi Jamie, pourquoi ce virus devait faire une requête DNS ? Cela n’a aucun sens!”
Eh bien, Fred, c’est une excellente question, et je vais y répondre !

La théorie, c’est qu’il s’agissait d’une protection contre les environnements de Sandboxing. Ces derniers utilisent majoritairement un environnement virtuel, et ont comme comportement de résoudre toutes requêtes DNS, existantes ou non, sans avoir besoin de le faire sortir.
Dans le cas présent, si une Sandbox répondait à la requête DNS, alors le malware ne se montrait pas, pour éviter d’être détecté par ce type d’équipement de sécurité.
Or, il a suffi à un jeune Britannique d’enregistrer ce nom de domaine, pour que ce dernier réponde immédiatement à la requête, et arrête quasiment instantanément la propagation, pour tout le monde.

Pour contrer ce type de réaction, il existe aujourd’hui des équipements de Sandboxing intégrant un poste “physique” en plus des postes virtuels, pour pouvoir réagir dans ce type de Malware intelligent.

À l’heure actuelle, l’analyse est toujours en cours par les professionnels. Néanmoins, voilà les informations que nous avons :

Concernant Petya, le problème est réellement différent, car le virus n’infecte que les réseaux locaux (LAN), une fois l’intégralité du réseau infecté, il ne se propage plus. Il n’a pas pour capacité à se propager sur Internet.  Mais le bruit fait par l’attaque provient surtout de sa propagation initiale, très agressive.

Le déroulement théorique de l’attaque initiale.

Cette histoire n’a pas de source, la personne ayant indiqué cette théorie souhaite rester anonyme, et l’éditeur “accusé” a démenti officiellement ces informations. Néanmoins, elles semblent assez crédibles et intéressantes pour être partagées, mais pourront être démenties dans un prochain article. Néanmoins, Microsoft a remonté qu’un processus malicieux a bien été lancé par le logiciel mis en cause, à la même heure.

Concernant la propagation en Ukraine, une théorie est arrivée en fin d’après-midi, mettant en doute la sécurité d’un logiciel réputé chez eux : MeDoc

 MeDoc, est un logiciel de comptabilité utilisé par le gouvernement ukrainien et qui est utilisé dans de nombreuses grosses sociétés ukrainiennes. Comme beaucoup de systèmes de notre époque, ces derniers ont un système d’update automatique, en soi, rien d’anormal. Sauf qu’il semblerait que MeDoc ait subi une attaque, et que les pirates aient poussé le Malware via cette option. Pousser le malware via les serveurs d’update du-dit logiciel, permettant d’infecter tous les clients utilisant les mises à jour automatiques du système. Les attaques ont débuté après avoir reçu une update de 333 Kb ce mardi matin, à 10 h 30.

 

Forcément, vous imaginez bien que lorsque vous avez de nombreuses très grosses structures infectées, la propagation est impressionnante. Les caisses enregistreuses modernes ont été touchées, de même que Tchernobyl qui se retrouve sans analyse de radiation informatisée… Effectivement, avec un départ comme ça, on peut croire que l’infection est impossible à arrêter.

Pour la suite, comment ont été infectés les postes en Europe de l’Ouest ou aux États-Unis, nous n’avons aucune réponse fiable à vous donner pour le moment. Certains indiquent qu’il y a eu une propagation par mail, mais personne n’a été capable d’affirmer cette théorie à l’heure actuelle.

 Néanmoins, en ce Mardi soir / mercredi matin, voici les informations que nous avons sur cette attaque :

 Petya scanne le réseau local pour infecter les autres postes, et fait en attaque via NetServerEnum permettant de voir l’intégralité des serveurs du domaine, une attaque via vol des identifiants admins locaux, souvent identique sur tout le domaine, sur vos postes utilisateur qu’il tentera ensuite d’utiliser via le Windows Management Instrumentation (WMI) pour déployer le Ransomware ailleurs. Mais, encore une fois, quand le réseau local de la structure est complètement corrompu, la propagation s’arrête. Bien entendu, cela inclut aussi tout ce qui est VPN ou connexion Wi-Fi.

Il s’agit, ni plus ni moins, d’un malware basique ayant la capacité de se déplacer verticalement. Complètement différent d’un WannaCry qui était, quant à lui, capable de se déplacer à travers Internet.

Est-ce qu’il existe une solution pour arrêter ça ?

Pour arrêter cela, il existe une solution simple à déployer sur tous les ordinateurs..
Je ne l’appellerais pas “Kill Switch”, car comme dit plus haut, un “Kill Switch” c’est une action “unique” permettant d’arrêter l’intégralité de la propagation. Ici, il s’agit plutôt d’un vaccin.
Pour cela, il faut créer un fichier nommé “perfc” ”perfc.dat” et ”perfc.dll” dans votre fichier C:Windows en “Read Only” – cela empêchera le virus de créer sur votre poste, et empêchera ce dernier d’être infecté.

Bien sûr, le plus important reste d’avoir des postes utilisateur à jour en plus de vos équipements de sécurité. Chaque constructeur a mis une Security Alert concernant cette attaque, cela vous permettra de voir si vous êtes vulnérable ou si cela est déjà bloqué chez vous.

NE PAYEZ SURTOUT PAS !

L’adresse e-mail utilisée par les responsables du Ransomware a été bloquée par l’opérateur hébergeant cette dernière. Cela signifie que, effectivement, vous pouvez payer votre rançon, mais qu’à aucun moment vous n’obtiendrez la clé permettant de décrypter votre poste utilisateur.

Si vous savez que votre poste a été infecté, éteignez-le immédiatement. Petya ne chiffre vos fichiers qu’après un reboot, ce dernier s’effectuant automatiquement 1 h après l’infection.
Si vous voyez votre poste lancer un CHKDSK au boot, éteignez-le immédiatement et ne le rallumez pas tant que vous n’avez pas eu de retour sur l’avancée de cette attaque, et le déblocage de la situation.

 

Sources :

https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

 

Partager :

Auteurs