УДК 004.62

к.т.н. Цивільський Ф.М., магістрант Крамаренко С.С.,

Херсонський національний технічний університет

Дослідження методів захисту комп’ютерних мереж

від атак типу Petya

Вступ. В наш час більшість інформації зберігається у комп’ютерних системах, тому захист таких систем є актуальною темою. Державні установи, сайти ЗМІ і електронні комерційні сайти, сайти компаній, комерційних і некомерційних організацій - усі вони є потенційними цілями атак. Підприємства атакуються для отримання неправомірної вигоди для зловмисника. Характерною особливістю атак є отримання приватної інформації, заволодіння ресурсами атакованої системи, вимагання, шантаж. Один із видів є атака вірусом Petya - шкідлива програма, мережевий черв'як і програма-вимагач, що вражає комп'ютери під управлінням Microsoft Windows

Програма шифрує файли на жорсткому диску комп'ютера-жертви, а також перезаписує і шифрує головний завантажувальний запис (MBR) — дані, необхідні для завантаження операційної системи. В результаті всі файли, що зберігаються на комп'ютері, стають недоступними. Потім програма вимагає грошовий викуп у біткоїнах за розшифровку і відновлення доступу до файлів. При цьому перша версія вірусу шифрувала не самі файли, а MFT-таблицю — базу даних з інформацією про файли, що зберігаються на диску.

Основна частина. Шкідлива дія вірусу складається з двох частин та залежить від прав, який має його процес, та від того, які процеси працюють в операційній системі. Вірус обчислює нескладний геш назв запущених процесів, і якщо буде знайдено наперед задані коди може або припинити своє поширення, або ж, навіть, відмовитись від шкідливої дії.

Першим кроком вірус шифрує файли з наперед заданого переліку типів (їх понад 60) з використанням алгоритму AES-128. Для кожного комп'ютера вірус обчислює новий ключ симетричного алгоритму шифрування AES-128, який шифрує 800-бітним відкритим ключем RSA з пари ключів зловмисників та зберігає на жорсткому диску. Повідомлення з вимогою викупу для дешифрування файлів залишається на жорсткому диску. Це повідомлення має відмінний від ключа на другому кроці ключ (так званий «ідентифікатор жертви») та доведена можливість відновлення втрачених файлів за умови отримання правильного коду від зловмисників. Проте, навіть тут зловмисники припустились помилок, внаслідок яких відновлення даних істотно ускладнене, а сам вірус Petya не містить модуля для відновлення даних, тому для цього необхідна іще одна, інша програма. Слід також зазначити, що у функції шифрування файлів зловмисник припустився помилки, яка може істотно ускладнити (якщо не унеможливити) їхнє відновлення: вірус шифрує лише перший мегабайт даних у файлах більшого розміру, але не скидає стан алгоритму шифрування при переході до наступного файлу. Таким чином, для відновлення файлів слід виконувати в ідентичному порядку.[1]

Знищення файлової системи

Після завершення першого кроку (шифрування файлів), якщо вірус має достатньо системних прав та за певних інших умов, він переходить до другого кроку (знищення файлової системи).

Другим кроком вірус: змінює головний завантажувальний запис (MBR) кодами свого запуску, обчислює «ідентифікатор жертви» (англ. Victim ID) із застосуванням випадкових чисел, обчислює ключі шифрування із використанням криптографічно стійкого генератора псевдовипадкових чисел, зберігає його у MBR, встановлює випадковий таймер (не менше 10, але не більше 60 хвилин) на перезавантаження комп'ютера, та знищує всі записи в системних журналах.[2]

При завантаженні комп'ютера завдяки змінам в головному завантажувальному записі (MBR) замість операційної системи буде завантажено шкідливий код віруса, який малює на екрані підробку під інтерфейс програми перевірки цілісності жорсткого диску Chkdsk. Основна шкідлива дія на цьому кроці полягає в шифруванні таблиці файлів (англ. Master File Table, MFT) файлової системи NTFS алгоритмом шифрування Salsa20. При цьому ключ шифрування по завершенні процесу безповоротно стирається, а жертві пропонується відправити зловмисникам для отримання ключа дешифрування «ідентифікатор жертви» (англ. Victim ID), який жодним чином не пов'язаний з тим ключем.

Така поведінка відрізняється від поведінки оригінального хробака Petya/Mischa. Оригінальний вірус Petya зберігав ключ шифрування Salsa20 й тим самим зберігав можливість для відновлення даних. Хоча, через помилку в реалізації відновити дані виявилось можливим навіть без сплати викупу (поки ця помилка не була виправлена у третій версії та вірусі Goldeneye).

Слід зазначити, що шкідлива дія вірусу цим не обмежена: через ваду в реалізації вірус здатен повторно вражати одну й ту саму систему. Тоді зашифровані на першому кроці файли будуть зашифровані вдруге, а необхідний для їхнього дешифрування ключ буде затертий новим, чим унеможливить їхнє відновлення. Використання вірусом одного-єдиного відкритого ключа RSA означає, що розкривши за викуп бодай один код для відновлення даних жертви (фактично — приватний ключ в парі RSA), зловмисники водночас відкрили б можливість усім іншим відновити втрачені дані (за допомогою цього ключа). [3] Це, разом з іншими ознаками, може свідчити, що здирництво не було основним мотивом атаки, а навпаки, під здирництво була замаскована масштабна кібератака на інформаційні системи українських підприємств (від найбільших до найменших) та органів державної влади.

Захист: Більшість великих антивірусних компаній заявляють, що їхнє програмне забезпечення оновлено, щоб активно виявляти і захищати від проникнення вірусу: наприклад, продукти компанії Symantec використовують сигнатури оновленої версії 20170627.009. Лабораторія Касперського також заявляє, що її програмне забезпечення готове до виявлення і захист від шкідливого ПЗ. Крім того, актуальні оновлення Windows виправляють вразливість EternalBlue, що дозволяє зупинити один з основних способів зараження, а також захистити користувачів від майбутніх атак з різного роду корисними навантаженнями.

Згодом на сайті хабр були повідомлення від системних адміністраторів українських компаній, що постраждали із повідомленнями про те, що у них в компанії вже були встановлені всі останні оновлення, встановлений файєрвол, обмежені права користувачів, антифішинг фільтр для поштовиків і все одно ПК компанії були зашифровані. [3]

Для цієї шкідливої атаки був виявлений ще один вектор захисту. Petya перевіряє наявність файлу perfc.dat, що перебуває в системній папці тільки для читання. Якщо він виявить цей файл, то не буде запускати шифрування програмного забезпечення та інформації. Однак така «вакцина» насправді не запобігає зараженню: шкідливе ПО, як і раніше буде використовувати «точку опори» на зараженому ПК, з метою поширитися на інші комп'ютерні системи через локальну мережу.

Основні результати і висновки. Розглянувши основні особливості роботи Petya-атак можна зробити висновок, що віт є найнебезпечнішим видом атаки, направлена на шифрування всього до чого він зміг дотягнутися та вимагання грошової винагороди.  Системним адміністраторам в першу чергу треба розробляти захист саме від цього виду атаки. Захист систем від Petya атак досягаєтеся своєчасним оновленням ПО, встановленням оновлених антивірусних програм.

 

 

 

 

 

 

 

 

 

ЛІТЕРАТУРА:

 

1.     Сравниваем #NotPetya и #Petya — реально ли расшифровать свои файлы? Обновлено [електроний ресурс] – режим доступа:https://habrahabr.ru/company/pt/blog/331962/

2. Работа вируса [електроний ресурс] – режим доступа: https://habrahabr.ru/company/varonis/blog/337186/

3. Распрастронение вируса [електроний ресурс] – режим доступа https://geektimes.ru/post/290615/