X

Petya : l'analyse de NetXP

L'ESN NetXP a livré sa propre analyse de l'attaque Petya. Nous reproduisons ici la tribune de Vladimir Kolla, Responsable de la Practice Sécurité au sein de l'entreprise, qui reprend et complète certaines informations déjà publiées par nos soins.

Vecteur d’infection

Contrairement au ver WannaCry qui se contentait d’infecter les cibles accessibles avec le protocole de partage de fichiers de Microsoft SMB, Cette fois-ci, le vecteur n'est pas confirmé mais deux hypothèses sont évoquées :

une campagne de phishing à l’origine de l’infection;
la compromission d'un éditeur tier et la distribution de mises à jours malveillantes.
Ceci demande encore confirmation, mais dans le cas du phishing, si les analyses ne se mélangent pas avec une autre attaque, il débuterait par une classique pièce jointe Office exploitant la vulnérabilité CVE-2017-0199 et dans des fichiers RTF.

RTF (Rich Text Format) est un vieux format de document de Microsoft, toujours supporté par Word mais avec la particularité d’être, un peu comme HTML, un langage de mise en forme, contenant du texte, des images... 

Voici un exemple simpliste de document RTF affichant « NetXP » : 
{\rtf1\ansi\deff0
{\colortbl;\red0\green0\blue0;\red255\green0\blue0;}
NetXP\line }

La vulnérabilité, découverte par FireEye en début d’année et corrigée en avril, permet de contourner le mode protégé d’Office (mode protégé), non pas en exécutant une macro, mais en permettant d’activer un objet OLE, directement à l’ouverture du document, sans la moindre alerte. Il devient alors possible de faire appel à un objet OLE allant télécharger quelque chose sur Internet et c’est ce que fait ce nouveau ver : il va télécharger un fichier HTA pour HTML Application, permettant d’exécuter le vrai code malveillant et ainsi de prendre le contrôle de l’ordinateur. De nombreux outils ont fait leur apparition, permettant de créer son propre document malveillant exploitant cette vulnérabilité.

Ici, sur github. Dans MetaSploit : exploit/windows/fileformat/officewordhta

Pour faire simple : l’utilisateur ouvre un document Word ou Excel envoyé en pièce jointe d’un mail, sans aucune alerte ni blocage, Word ou Excel va télécharger le fichier HTA sur un des sites ci-dessous, puis l’exécuter.

Pivot

Une fois le poste infecté, après certaines étapes non encore identifiées, le ver essaie de se propager sur le réseau (pivot latéral). 

Incorporant des morceaux de l’outil Mimikatz, il est capable de récupérer des éléments d’authentification en mémoire et de les réutiliser avec le protocole de gestion Microsoft WMI pour s’exécuter sur une autre cible 

Parmi les chaînes de caractères présentes dans le ver, on peut trouver des lignes de commande WMIC avec les paramètres permettant l’exécution à distance, authentifiée :
-d C:\Windows\System32\rundll32.exe "C:\Windows\%s",#1
wbem\wmic.exe 
%s /node:"%ws" /user:"%ws" /password:"%ws" process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\%s\" #1 \\%s\admin$ \\%ws\admin$\%ws

Il incorpore également l’outil de Microsoft « Sysinternals PsExec » pour tenter de progresser sur le réseau, tout comme nous l’utilisons parfois lors d’audits. 

Enfin, il semblerait qu’il tente d’exploiter la vulnérabilité sur le protocole de partage de fichiers de Microsoft « SMB », déjà exploitée par le rançongiciel de mars (WannaCry) et donc corrigée par le bulletin MS17-010.

Par contre, toujours pas d’information sur une possible élévation de privilège local ou un contournement de l’UAC ni sur la présence d’une « time bomb ».

Time bomb ?

Bien que non encore confirmé, l’apparition en même temps sur de nombreux ordinateurs d’entreprises différentes laisse penser à la présence d’une « time bomb », c’est-à-dire l’infection de la cible mais la mise en sommeil de la charge active jusqu’à la date fatidique de l’activation. 

Ce point reste donc à confirmer ou infirmer. 

Dans le cas de la compromission d'un éditeur tiers, la simultanéité s'expliquerait d'elle même.

« Kill Switch »

Les exemples du virus analysés cherchent la présence d’une librairie dans le répertoire c:\windows, indiquant que la cible est déjà compromise. A lire ici
Je n’ai pas trouvé de façon sûre ce nom, mais il semblerait que cela soit c:\windows\core.dll ou c:\windows\perfc.dat ou C:\windows\perfc

C’est étrange que le nom soit en dur dans le code et ne soit pas lié à l’environnement infecté.

Il serait envisageable de déployer en urgence (par GPO par exemple) des fichiers vides nommés comme ci-dessus pour parer à toute infection supplémentaire, mais je doute que cela soit efficace très longtemps.

Bitcoins

Le portefeuille Bitcoin des criminels est celui-ci. 

A cet instant, les criminels ont récupéré 3.155 bitcoins, c’est-à-dire 6680 euros

IoC

Voici quelques adresses IP liées à ce ver. Il peut être intéressant de regarder dans ses logs Proxy et Firewall si des accès ont été réalisés : 
185.165.29.78 
84.200.16.242 
111.90.139.247 
95.141.115.108 (Correspondant au domaine french-cooking.com 😉)

Le Github de « Vulners Team » inclut un certain nombre d’autres éléments techniques.

Que faire ?

Depuis hier, nous sommes sur le pont avec un certains nombre de nos clients. 

Parmi les premières actions, tout comme pour WannaCry, il nous semble important de mettre à jour ses systèmes - s’il ne l’étaient pas - mais aussi toutes ses solutions de sécurité liées aux flux des utilisateurs (Antivirus, Proxy, Passerelles mail, IDS/IPS...).

Il faut en parallèle communiquer rapidement auprès des utilisateurs, si ce n’est pas déjà fait, sans non plus créer de panique. Il est peut être intéressant d’interdire l’ouverture de pièce jointe provenant d’internet, tout du moins pendant la journée.

En cas d’infection, il faut naturellement couper les ressources infectées du réseau et faire une veille très attentive sur ce qui sera publié dans les prochaines heures.

A noter que si les analyses de Kaspersky et Talos sont justes, il est impossible de déchiffrer.

Ensuite, il faudra reconstruire ses postes de travail ou serveurs, sans doute revoir le durcissement de ses systèmes, remettre à plat ses procédures de mises à jour pour essayer de déployer les correctifs de sécurité plus rapidement (ce qui n’est pas forcement aisé suivant les contextes), peut être envisager de limiter les flux entre les utilisateurs et revoir (mettre en place?) le cloisonnement de ses serveurs en n'ouvrant que le strict nécessaire.

Réparer son boot ?

En cas d’infection, où le virus aurait eu accès aux privilèges « administrateur » et cassé le disque, il semblerait qu’il soit possible de récupérer le disque et les fichiers, avec les commandes suivantes en démarrant sur une clef USB ou un autre média, avec l’outil BootRec de Microsoft accessible dans le menu de récupération du démarrage :
bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot

Nous n’avons pas testé cette solution, donc nous ne connaissons pas les effets en bord, en particulier en cas de disque précédemment chiffré par Bitlocker ou toute autre solution. 

De plus, étant donné qu’il faut un accès physique au poste (ou serveur), il semble irréaliste d’utiliser cette méthode si de nombreux postes ont été compromis.

Vladimir Kolla, responsable de la Practice Sécurité chez NetXP


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité

Aujourd'hui, les Directeurs Comptables et Financiers ont envie de dématérialiser leurs factures fournisseurs. C'est plutôt l'idée de devoir s'intégrer à un environnement multi-ERP déjà existant qui les freine. Mais est-ce réellement une barrière ? Dans son nouveau Livre Blanc, Esker explore ce sujet. En le téléchargeant, vous découvrirez comment la dématérialisation peut être une aubaine plutôt qu'un fardeau.


Actuellement, il existe un gouffre entre les environnements informatiques traditionnels des entreprises et le cloud public. Tout diffère : les modèles de gestion, de consommation, les architectures applicatives, le stockage, les services de données.


Les avantages de l’architecture hyperconvergée étant de plus en plus reconnus, de nombreuses entreprises souhaitent l’utiliser pour des types d’applications variés. Cependant, son manque de souplesse pour une mise à niveau des ressources de calcul indépendantes de celles de stockage ne lui permet pas d’être utilisée plus largement.

Au cours de l’événement HPE Discover qui s’est tenu en juin 2019, HPE a répondu à cette préoccupation en présentant la plateforme HPE Nimble Storage dHCI.

Ce Livre Blanc IDC se penche sur les exigences du marché ayant stimulé le besoin de solutions HCI plus flexibles, puis il examine brièvement la solution HPE Nimble Storage dHCI en expliquant pourquoi elle répond à ce besoin.


Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


Tous les Livres Blancs
Offres d'emploi informatique avec  Emploi en France
jooble

L’emploi aux temps du Corona

L’emploi aux temps du Corona

Bien que moins sinistré que d’autres par la Covid-19, le secteur de l’IT a lui aussi connu de profonds changements durant le confinement et devrait en tirer quelques enseignements.

No Code / Low Code

No Code / Low Code

Le No Code / Low Code ne cesse de faire parler de lui en ce moment avec des outils comme Appian, Intrexx, Lightning, Unqork et autres Microsoft Flow. Est-ce le début de la fin pour les développeurs ? Peut-être, peut-être...

Gestionnaire de mots de passe

Gestionnaire de mots de passe

Enregistrer ses mots de passe dans un coffre-fort numérique plutôt que les noter sur un carnet, un post-it ou un fichier Excel… Tel est le principe des gestionnaires de passwords qui ne cessent de gagner de nouveaux...

Datacenters sur le grill

Datacenters sur le grill

Véritable usine de production de l’économie numérique, le datacenter focalise les critiques des associations environnementales. Ces installations dont les plus grosses peuvent consommer jusqu’à une centaine...

RSS
Afficher tous les dossiers

IT DU MONDE D'APRÈS, IT DE DEMAIN (1) : automatisation, gestion de l'info, mobilité, sécurité - Health Data Hub - Le VPN meilleure solution pour le télétravail ? - Project Reunion Microsoft : retour des apps universelles - Power Over Ethernet, une avancée discrète - Pourquoi Apple choisit ARM plutôt qu'Intel ? - La Silicon Valley dans tous ses états - Produits high tech de loisirs du moment...

 

GESTIONNAIRE DE MOTS DE PASSE : un outil indispensable ? - Pandémie & Tech : gagnants et perdants - Multicloud : réalité d'aujourd'hui, impacts sur l'infrastructure et l'applicatif - Project Reunion Microsoft - No Code/Low Code en plein essor - Cobol V6 - Cyberattaques Covid-19 - L'emploi au temps du Corona...

 

COMMUNICATIONS UNIFIÉES : une convergence accrue entre communication et collaboration - Réussir StopCovid ! - Énergie : les datacenters sur le grill - Le lourd poids de la dette technique - GitLab comme solution DevSecOps - Les femmes, avenir de la filière IT ? - Apps de messagerie, attention danger ? - Pôle IA Toulouse...

 

Afficher tous les derniers numéros
Derniers commentaires
Un robotaxi Didi Chuxing circule dans les rues de Shanghai, le 20 juillet 2020A Shanghai, des clients-cobayes s'installent sans crainte à l'arrière d'un taxi sans chauffeur qu'ils ont commandé en ligne: les géants locaux de la voiture autonome tentent de généraliser cette technologie futuriste auprès de Chinois friands d'innovation. [Lire la dépêche...]

Twitter a, selon le Wall Street Journal, entamé des discussions préliminaires pour un éventuel regroupement avec TiktokTwitter a, selon le Wall Street Journal, entamé des discussions préliminaires pour un éventuel regroupement avec Tiktok, une application que Donald Trump accuse d'espionnage au profit de la Chine et menace d'interdire aux Etats-Unis. [Lire la dépêche...]

Une interdiction des populaires applications mobiles chinoises Tik Tok et WeChat aux Etats-Unis pourrait fragmenter encore plus un internet mondial déjà fragile, redoutent des spécialistes du secteurUne interdiction des populaires applications mobiles chinoises TikTok et WeChat aux Etats-Unis pourrait fragmenter encore plus un internet mondial déjà fragile, redoutent des spécialistes du secteur. [Lire la dépêche...]

WeChat, qui appartient au géant chinois Tencent et est omniprésente dans la vie des Chinois (messagerie, paiements à distance, réservations...)Malgré les raisons avancées par Donald Trump, le tour de vis contre les plateformes TikTok et WeChat, joyaux chinois de l'internet, ne présente pas un intérêt "majeur" pour la sécurité des Etats-Unis, estiment les experts du secteur qui soupçonnent le président-candidat d'avoir d'autres motivations. [Lire la dépêche...]

Bernard Stiegler le 20 novembre 2003 à DouaiBernard Stiegler, philosophe très critique du système capitaliste qui avait consacré ses recherches aux mutations provoquées dans la société par le numérique, est mort à l'âge de 68 ans, a annoncé le Collège international de philosophie. [Lire la dépêche...]

Donald Trump a signé un décret interdisant, d'ici 45 jours, toute transaction Donald Trump a pris des mesures radicales à l'encontre des joyaux du numérique chinois WeChat et TikTok, enclenchant un compte à rebours d'un mois et demi avant de leur interdire toute transaction avec un partenaire américain. [Lire la dépêche...]

TikTok a franchi en avril le cap des 2 milliards de téléchargements dans le mondeEn interdisant les applications WeChat et TikTok aux Etats-Unis dans un délai de 45 jours, le président américain Donald Trump s'attaque à deux géants chinois de l'internet aux ambitions mondiales et ouvre un nouveau front dans la rivalité technologique avec Pékin. [Lire la dépêche...]

Facebook a annoncé mercredi avoir démantelé un réseau de quelque 120 comptes sur sa plateforme principale et sur son application InstagramA l'approche de la présidentielle américaine en novembre, Facebook et Twitter multiplient les efforts pour préserver leurs plateformes des campagnes de manipulation et de désinformation, notamment étrangères, et éviter de répéter les scandales des scrutins de 2016. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

HEXATRUST

6ème université d'été de l'association Hexatrust sur le thème "Vers une autonomie stratégique européenne" le 3 septembre 2020 à Paris (CCI). Sur invitation. Organisée par Hexatrust.

BIG DATA

Conférences et exposition sur le Big Data les 14 et 15 septembre 2020 à Paris, Porte de Versailles. Organisé par Corp Agency.

AI PARIS

Conférence, exposition et rendez-vous d'affaires sur l'intelligence artificielle à Paris, Porte de Versailles les 14 et 15 septembre 2020. Organisé par Corp Agency.

DOCUMATION

Congrès et exposition Documation du 22 au 24 septembre 2020  à Paris Porte de Versailles (Pavillon 4.3). Organisé par Infopromotions.

AP CONNECT

La 3ème édition d'AP Connect qui vise à réunir les innovations, technologies et solutions dédiées à la transition numérique des administrations publiques centrales et des collectivités territoriales a lieu les 22 et 23 septembre 2020 à Espace Grande Arche, Paris La Défense. Organisé par PG Organisation.

RSS
Voir tout l'AgendaIT