Tre saker företag kan göra för att besegra Petya

Det omfattande Petya-utbrottet har mycket gemensamt med WannaCry-utbrottet i maj, men det finns viktiga skillnader som företag behöver ha koll på för att skydda sig.

Författare: F-Secure Business Security Insider
Datum: 29.06.2017
Lästid: 4 Minuter

Sedan i tisdags har ett utbrott av den otrevliga ransomware-varianten Petya slagit till mot företag i fler än 60 länder. Omfattningen av attackerna, och det faktum att de är riktade mot företag, har gjort att många jämför Petya med förra månadens WannaCry-pandemi.

Och även om det finns gott om likheter, så finns det också viktiga skillnader som företag måste ha koll på om de vill skydda sig. Här är några saker företag bör ha i åtanke för att säkerställa att de håller sig utanför riskzonen.

PETYA ANVÄNDER DINA EGNA INLOGGNINGSUPPGIFTER EMOT DIG

Ett av de tricks som Petya använder för att sprida sig är att få tillgång till lokala admin-uppgifter. Det har flera olika mekanismer för att göra det och så fort Petya får tillgång till nätverket så kan Petya hoppa från maskin till maskin genom att använda standardfunktioner i Windows.

Lösning: Enligt Jarno Niemelä, chefsforskare på F-Secure Labs så är det bäst att vara särskilt försiktig med att använda administratörslösenord innan företag är säkra på att de har andra skyddsåtgärder på plats.

”Företag som är oroliga över om de är i farozonen bör instruera anställda till att undvika att logga in på arbetsstationer som domän-administratörer”, säger Jarno Niemelä. ”Om du gör det, starta om datorn när du är färdig med den uppgift som behövde göras. Företag bör också se till att alla datorer har ett lokalt admin-konto med ett unikt lösenord.”

PETYA HAR FLER METODER FÖR ATT SPRIDA SIG GENOM NÄTVERK ÄN SÄKERHETSLUCKAN I SMB

EternalBlue är en exploit för att utnyttja en säkerhetslucka i SMB-protokollet, som används i de flesta Windows-versioner – och som först togs fram av NSA. Det finns en uppdatering som täpper till sårbarheten och självklart är det så att alla företag som inte redan uppdaterat sina system bör göra det omgående.

Men det har också blivit uppenbart att det senaste Petya-utbrottet har ytterligare sätt att sprida sig. Att täppa till SMB-luckan är inte tillräckligt för att förhindra att den skadliga koden sprider sig.

De andra metoderna innebär att Petya utnyttjar legitima Windows-processer för att sprida sig. Mer specifikt så försöker den köra den skadliga koden genom PSEXEC och WMIC – administrationsverktyg i Windows. Och den gör det med hjälp av administratörslösenord (som nämndes ovan).

Lösning: Enligt Tom Van de Wiele, Principal Security Consultant på F-Secure, så finns det flera saker som företag bör göra för att skydda sig den här vägen:

* Proaktivt skapa filen C:\windows\perfc och stänga av alla läs- och skrivrättigheter på den för Windows-maskiner. Petya bör inte aktiveras om det upptäcker den filen.

*Ersätt anropet till psexec.exe: Skapa en nyckel som heter ”psexec.exe” i ”HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\NT\CurrentVersion\Image File Execution Options” och skapa ett REG_SZ-värde som heter ”Debugger” och sätt det till ”svchost.exe”. Det innebär att den riktiga psexec inte kommer att startas.

* Stäng av möjligheten att logga in på distans med lokala AD/GPO-konton för att de-aktivera psexec/wmic-kombinationen.

* Avaktivera WMIC överallt där det inte behövs.

* Blockera inkommande förfrågningar till 135/tcp (winrpc) för wmic-förfrågningarna

* Blockera inkommande förfrågningar till 445/tcp (cifs) för inkommande EternalBlue-förfrågningar – något som redan bör vara gjort efter WannaCry.

VI SER FLERA RAPPORTER OM ATT DETTA ÄR EN ”VENDOR SUPPLY CHAIN”-ATTACK

Vi får en allt bättre bild av hur Petya sprider sig genom nätverk, men fortfarande återstår flera frågetecken kring den ursprungliga infektionen. Det har kommit rapporter om att de första fallen kom från en skadlig uppdatering till ett bokföringsprogram utvecklat av ett företag i Ukraina.

Detta kan betyda att företaget har fått sina system infekterade, eller att angriparna lyckades infektera företagets kunder, exempelvis genom en ”man-in-the-middle”-attack.

”Den här typen av attacker bygger på att man siktar in sig på ett antal företag genom att gå via en tjänst eller ett program som de använder”, säger Andy Patel, teknikexpert på F-Secure. ”Med hjälp av den här typen av ”semi-riktade” attacker, kan flera företag och individer infekteras med en enda attack.”

Men detta är bara en möjlig förklaring till hur det hela kan ha börjat, det förklarar inte hur utbrottet kunde sprida sig så snabbt över världen.

En sak är dock tydlig, detta var en attack som många företag inte var förberedda på. Och det är självklart ett problem, och något som behöver åtgärdas.

Lösning: Att attackerna är så riktade gör dem också svåra att upptäcka. Det bästa försvaret är att ha en lösning som upptäcker intrång på plats. Ett exempel är F-Secures Rapid Detection Service som upptäcker alla former av avvikande beteende på ntäverket som skadlig kod ger upphov till när den väl är på plats.

Många säkerhetslösningar, inklusive dem från F-Secure, erbjuder företag flera olika sätt att skydda sig från de olika taktiker, tekniker och metoder som används i den här typen av attacker. Kolla in det här blogginlägget för mer information.


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s