| CERT

Update le 28-06-2017 à 10:54 – Mécanismes de propagation et de retardement

Bulletin de sécurité du CERT-OPMD 27-06-2017:

Une campagne de ransomware est annoncée comme se propageant actuellement par la vulnérabilité Eternalblue (MS17-010). Ce mode de propagation est confirmé par nos équipes.

Ce ransomware est Petya, et chiffre la MBR et la MFT lorsqu’il a les droits suffisants. Sinon il chiffre les fichiers de type suivant :

  • 3ds 7z accdb as asp aspx avhd back bak c cfg conf cpp cs ctl dbf disk djvu doc docx dwg eml fdb gz h hdd kdbx mail mdb msg nrg ora ost ova ovf pdf php php pmf ppt pptx pst pvi py pyc rar rtf sln sql tar vbox vbs vcb vdi vfd vmc vmdk vmsd vmx vsdx vsv work xls xlsx xvd zip

 

Ce ransomware a une fonction de propagation similaire à celle de wannacry, donc via la vulnérabilité Eternalblue  (MS17-010).

Les hashs pour le moment récupérés par le CERT-OPMD sont :

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

 

Méthodes de propagation :

Trois voies de propagation ont été repérées lors de l’analyse du malware :

  1. Via la vulnérabilité SMB Eternalblue – patchée par Microsoft MS17-010
  2. Via WMIC (https://msdn.microsoft.com/en-us/library/bb742610.aspx)
  3. Via PSExec (https://technet.microsoft.com/fr-fr/sysinternals/pstools.aspx)
De plus @gentilkiwi a confirmé l’utilisation de son outil Mimikatz pour dumper des credentials sur le poste et se servir de ceux-ci pour propager via WMIC et PSExec le ransomware. (source : https://twitter.com/gentilkiwi/status/879855038713274369)
 

Mécanisme de retardement :

Nous avons pu remarquer l’utilisation de mécanisme de retardement du redémarrage:

  • schtasks.exe  » /TR « %WINDIR%\system32\shutdown.exe /r /f » /ST HH:MM

C’est pourquoi le redémarrage et le verrouillage du poste ne seraient visibles seulement plusieurs dizaines de minutes après le débranchement du réseau, et que bien que la machine soit infectée, le chiffrement ne soit pas visible tout de suite.

 

Remédiations conseillées par le CERT-OPMD:

Nous conseillons de patcher la vulnérabilité MS17-010 : https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx

Pour le moment, nous n’avons pas de confirmation concernant d’autres voies de propagations. Certaines sources font état d’une propagation par mail ainsi que de la CVE-2017-0199, mais  rien ne permet actuellement d’affirmer que la campagne utilisant cette vulnérabilité est liée à cette campagne Petya.

Comme pour toute campagne similaire, le meilleur conseil reste malgré tout d’appliquer rapidement les patchs de sécurité pour Microsoft, ainsi que d’informer les utilisateurs sur les bonnes pratiques à avoir lors de l’ouverture de pièces jointes.

 

En cas d’incident avérés, vous pouvez nous contacter à l’adresse mail suivante : cert@opmd.fr

ID PGP : 0x41117B6F34C79CCB

https://pgp.mit.edu/pks/lookup?search=cert+opmd&op=index

Arnaud Zobec & Benoît Ancel