cert.lv - kriptovīrusi...esi drošs 11.12.2017, kārlis podiņš, cert.lv petya notpetya maybepetya...
TRANSCRIPT
![Page 1: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/1.jpg)
Kriptovīrusi
Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV
![Page 2: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/2.jpg)
● Petya● notPetya● maybePetya
Saturs
![Page 3: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/3.jpg)
● Infekcijas vektors – izpildāmais fails epastā
● Lokālā administratora tiesības
● Yes, I agree – click click click● MBR pārrakstīšana – pirmā programmatūra (software)
● MFT šifrēšana
● Bitcoin izpirkums par atslēgu
● Mīnusi
● Datņu saturs nemainīts, daļu iespējams atgūt
● Plusi
● Pilnīga paralīze
● Nav problēmu ar šifrēšanas slēpšanu – on-the-fly atšifrēšanu
Petya
![Page 4: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/4.jpg)
Apēd šo!
![Page 5: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/5.jpg)
● Petya + Mischa = ❤● Mischa = datņu līmeņa šifrēšana
● Ja netiek pie lokālā administratora tiesībām● 80. gadu tehnoloģijas + bitcoin monetizācijai
Mischa
![Page 6: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/6.jpg)
Avots:Microsoft
● Modificēts Petya+Mischa
● Sākotnēji izplatās caur backdoor Ukrainā izmantotā grāmatvedības programmatūrā
● Tālāka izplatīšanās pa lokālo tīklu ar SMB ievainojamībām un pass-the-hash
● Tārps
● MFT šifrēšana
● Failu līmeņa šifrēšana
● Specifiska uzvedība atrodot AV produktus – failus šifrē vienalga
● Kaspersky
● Symantec
● Bitcoin izpirkums par šifrēšanas atslēgu
● Atšifrēšana nav paredzēta
notPetya
![Page 7: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/7.jpg)
● Supply Chain izmantošana uzbrukuma mērķēšanai● lokāli izmantota programmatūra
● Arī vieglākais ceļš - ticams, ka vairāk caurumu● Win10 iebūvētie mehānismi veiksmīgi pasargā
● Ir jēga izmantot pēdējo versiju● Ukrainas gadījumā nepasargātu
● Infekcijas sākumā pēc VirusTotal datiem tikai 2 produkti klasificē kā ļaundabīgu
● AV – aizsardzība pret vakardienas apdraudējumiem● VirusTotal nevar izmantot AV salīdzināšanai – konfigurācija
notPetya - secinājumi
![Page 8: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/8.jpg)
notPetya
Avots: Financial Times
![Page 9: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/9.jpg)
● Maersk = 1/5 pasaules kravu apjoma● Ietekme 4 valstīs● 200..300M$ zaudējumi
● Upuri arī Merck, FedEx
Collateral damage - Maersk
![Page 10: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/10.jpg)
● Supply chain attack● Kritiskā infrastruktūra● Šifrējošā vīrusa piesegs● Win un Linux● MEDoc izmantots gan maijā, gan jūnijā
● 1x – nejaušība, 2x – likumsakarība?● “...we are reasonably confident towards it being Russia” FireEye
● 27.jūnijs – notPetya
● 28.jūnijs – Ukrainas konstitūcijas diena
NotPetya – skats no putna lidojuma
Avots: ESET
![Page 11: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/11.jpg)
● Šifrējošais vīruss● Tālāka izplatīšanās pa lokālo tīklu ar SMB● Piedēvēts Ziemeļkorejas aktivitātēm (Symantec)● NHS UK, Telefonica, FedEx, Deutshe Bahn● 300.000 iekārtu● Izpirkums 130 k$
● bitcoin maciņa ienākumus iespējams izsekot
Wannacry
![Page 12: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/12.jpg)
Apkopojums
Valsts Noziedzība
Izpirkums Wannacry Petya
Zaudējumi+morāle notPetya ?
![Page 13: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/13.jpg)
● Ārējs audits uz rakstīšanas tiesībām● Problēmas personalizācija
● Līdz šim pārāk bieži infekcija = problēma citiem
● Tiesību ierobežošana
● Lietotāju izolācija
● Baltie saraksti
Problēmas un risinājumi
![Page 14: CERT.LV - Kriptovīrusi...Esi Drošs 11.12.2017, Kārlis Podiņš, CERT.LV Petya notPetya maybePetya Saturs Infekcijas vektors – izpildāmais fails epastā](https://reader033.vdocuments.net/reader033/viewer/2022043010/5fa11f150a2e8f10542b0555/html5/thumbnails/14.jpg)
Paldies!