Press "Enter" to skip to content

Petya Zararlısının Teknik Analizi

0

*Yeniden merhaba! Aşağıda gerçekleştirmiş olduğum analizi sizlerle paylaşmak istedim, umarım faydalı olur. 


Petya Hakkında

Microsoft Windows işletim sistemlerinde ki zafiyerleri istismar ederek veya üzerinde bulundurduğu servisleri kullanarak kullanıcıların tüm verilerini şifreleyen  ve verileri tekrar kullanılabilir hale getirmek için karşılığında ücret isteyen bir zararlı fidye yazılımdır. Bu zararlı yazılım farklı ülkelerde birden fazla kurumu etkisi altına almıştır. Ayrıca zararlı yazılımı kodlayan bilgisayar korsanı ücreti sanal para olarak adlandırılan takibi imkansız Bitcoin karşılığında talep etmektedir. Bu zararlı yazılımın önceki benzer yazılımlardan en büyük farkı birden fazla yayılma metodu kullanmasıdır. Sadece işletim sistemi zafiyetlerini değil insan zafiyetinden de yararlandığı bilinmektedir.

Petya Zararlısı Nasıl Bulaşır?

Bu zararlı Windows işletim sisteminin 445. Portunu etkileyen MS17-010 (CVE-2017-0144) adlı zafiyeti kullanarak, bu zafiyeti bulunduran bilgisayarlara uzaktan kod çalıştırma özelliği ile kendisini yüklemesiyle ilk bulaşmayı (infected) gerçekleştirmiş olur. Daha sonra bir bilgisayarda kalmayla yetinmeyip aynı ağda bulunan farklı bilgisayarlara da bu zafiyetin bulunup bulunmadığını kontrol ederek bulaşmaya devam eder. Eğer zafiyet yok ise kaba kuvvet (brute force) tekniği ile parolasını öğrendiği bilgisayarlara bulaşır. Ek olarak bulaştığı bilgisayarda erişebildiği bir mail adresi var ise, bu mail üzerinden de kendisini yayacak sahte mailler gönderir.

 

Petya Zararlısının Ayrıcalıklı Kılan Özellikleri

Bu zararlı yazılımın daha önceki benzer versiyonlarından ayrıcalıklı kılan başlıca özelliği birden fazla bulaşma metodu kullanmasıdır. Öncelikle benzerleri gibi Windows İşletim sistemlerinin üzerindeki zafiyetleri kullanarak bulaşır fakat farkı olarak sadece bununla yetinmeyip phishing saldırıları, sistem üzerinde açık metin parolaları ele geçirip farklı sistemlere atlama gibi akıllıca yöntemler de kullanmaktadır. Ayrıca bu kadar çabuk yayılmasında büyük etken olan olay ise Ukrayna merkezli bir yazılım firmasının güncelleme (firmware) dosyalarına bulaşarak kullanıcının direk indirmesi sonucu olmuştur. Ek olarak bu zararlı yazılım Windows işletim sistemlerinde hali hazırda varsayılan olarak gelen, sistemin çalışmasında katkı sağlayan servisleri, DLL dosyalarını  kullanarak verileri şifrelemesini de kolaylaştırmıştır.

Petya Zararlısının Davranışları ve Bulaştıktan Sonraki Aktiviteleri

Petya Ukrayna tabanlı yazılım şirketlerinin yayınladığı güncelleme ile kullanıcılara ulaştıktan sonra aşağıdaki adımlar ile bulaştıktan sonraki davranışlarından bahsedebiliriz.

  • Bu inceleme yazısında yer alan zararlı yazılımın varyantı: WannaCry Ransomware
  • Analiz araçları: reverse.it , malwr Online Sandbox, hacker process, WMIC, OllyDbg
  • Lab. Ortamı: Windows Server 2003

1) Enfekte Olduktan Sonra İlk Kurulum

 

 

Petya ilk olarak aşağıdaki komutu kullanarak rundll32.exe aracılığıyla kendisini çalıştırır.

  • rundll32.exe perfc.dat, #1

 

Kendisini çalıştırdıktan sonra, kendisini virüs bulaşmış sistemden çıkarmaya çalışacaktır. Bu, dosyayı açarak ve içeriği boş baytlarla üzerine yazarak dosyayı diskten silmeden önce yapar. Dosyanın boş baytlarla üzerine yazılması, dosyanın adli teknikler kullanılarak kurtarılmasına engel olmak için kullanılır.

 

Sonra, bilgisayarın virüslü olduğuna işaret eden bir bayrak olarak kullanılacak aşağıdaki dosyayı oluşturmaya çalışır:

  • C:\Windows\perfc

2) IP (Internet Protocol) Adresleri ve Kimlik Bilgisi Toplama

Açık metin parolalardan veya Windows Kimlik Bilgileri Yöneticisi’ndeki tüm kaynakları kullanarak elde edinilen kimlik bilgilerini kullanarak kendisini [BİLGİSAYAR ADI] \\ admin $ alanına kopyalayarak hedef bilgisayarlara yaymaya çalışır.


Ardından, PsExec veya Windows Yönetim Araçları Komut satırı (WMIC) aracını kullanarak uzaktan çalıştırılır.
Ayrıca EternalBlue ve EternalRomance exploit kitlerinin özelliklerini kullanarak SMB üzerinden yayılmaya çalışır.

4) MBR Enfeksiyonu


Kurulduktan sonra Petya ana önyükleme kaydını (MBR) değiştirmeye devam eder. Bu, bir sonraki sistem yeniden başlatma işlemi sırasında virüslü bilgisayarın normal yükleme işlemini ele geçirmesini sağlar. Ayrıca adli incelemede RAM üzerinde geçici olarak tutulan bilgilerinde silinmesine sebep olacaktır. Daha sonra değiştirilen MBR, bir CHKDSK ekranını taklit ederek sabit diski şifrelemek için kullanılır. Böylece boot (işletim sistemi önyükleme) işleminden sonra kullanıcıya bir fidye notu görüntüler.

Bu zararlı yazılım normal bir kullanıcı olarak yürütülürse tehdit yine de ağa yayılmaya çalışılacaksa, MBR değiştirme başarılı olmaz

Bu noktada, aşağıdaki komutu kullanarak bir sistem yeniden başlatma planlanmıştır:

 

  • “/c at 00:49 C:\Windows\system32\shutdown.exe /r /f”

5) Şifreleme

Petya bulaştığı işletim sistemi üzerinde yönetici yetkisine sahip ise tüm diski ve tüm dosya uzantılarını şifreleyecektir. Farklı sistemlere bulaşır ve daha düşük bir yetkiye sahip ise belirli dosya uzantılarını şifreler. Bu belirli uzantıların listesi aşağıdaki gibidir.


.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h. hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

 

Son olarak Petya zararlısının ekran görüntüsünü aşağıda görebilirsiniz:

Referanslar

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir