Kolme asiaa, jotka yritysten pitäisi tietää Petyasta

Petya-haittaohjelmahyökkäys vaikuttaa samankaltaiselta kuin toukokuun WannaCry-isku, mutta iskuissa on eroja, jotka yritysten tulisi tietää.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: kesäkuu 30, 2017
Lukuaika: 2 Minuuttia

Petya-haittaohjelma iski yrityksiin yli 60 maassa tällä viikolla. Hyökkäyksen laajuus ja se, että ne oli kohdennettu yrityksiin, on saanut monet vertaamaan sitä viime kuun WannaCry-pandemiaan.

Hyökkäyksissä on yhtäläisyyksiä mutta niistä löytyy myös olennaisia eroja, jotka yritysten tulisi tietää, mikäli tietojärjestelmiä halutaan suojata paremmin. Alla on lueteltu asioita, jotka organisaatioiden tulisi ottaa huomioon suojauksen varmistamiseksi.

Petya käyttää käyttäjätunnuksiasi sinua vastaan

Eräs tekniikoista, joita Petya käyttää levitäkseen, on organisaation pääkäyttäjätunnusten hankkiminen käyttöönsä. Haittaohjelmalla on useita erilaisia mekanismeja tätä varten. Kun ohjelmalla on pääkäyttäjätunnukset käytössään, se pystyy siirtymään koneelta toiselle Windowsin perusmekanismeja käyttäen.

Ratkaisu: F-Secure Labsin johtavan tutkijan Jarno Niemelän mukaan kannattaa olla varovainen, kun käyttää yrityksen pääkäyttäjätunnuksia, kunnes tarvittavat suojaustoimet on tehty.

“Yritykset, jotka epäilevät olevansa haavoittuvia tulisi ohjeistaa työntekijöitään välttämään kirjautumista työasemille pääkäyttäjätunnuksilla”, sanoo Jarno: ”Jos näin tapahtuu, kannattaa käynnistää kone uudelleen sen jälkeen, kun on saanut työnsä loppuun työasemalla. Organisaatioiden tulisi myös varmistaa, että kaikilla tietokoneilla on yksilölliset paikallisten ylläpitotunnuksien salasanat”.

Petyalla on useampia tapoja levitä verkkoon kuin SMB-aukko

EternalBlue on NSA:n hyödyntämä tietoturva-aukko, joka hyväksikäyttää useimpien Windows versioiden käytössä olevaa SMB-protokollan haavoittuvuutta. Tietoturva-aukolle on olemassa korjauspäivitys, jota yritysten tulisikin hyödyntää välittömästi, jos niin ei ole vielä tehty.

Petyalla on myös muita tapoja levitä. Pelkkä korjauspäivitys samalle SMB-aukolle, jota WannaCry käytti, ei riitä haittaohjelman pysäyttämiseen.

Haittaohjelma käyttää myös Windowsin omia prosesseja levitäkseen. Se yrittää suorittaa kiristysohjelmaa Windowsin hallintatyökalujen PSEXEC:in ja WMIC:in avulla pääkäyttäjätunnuksia hyväksikäyttämällä.

Ratkaisu: F-Securen johtavan tietoturvakonsultin Tom Van de Wielen mukaan on useita tapoja, joilla yritykset voivat estää haittaohjelman leviämisen:

  • Luo tiedosto C:\windows\perfc ja määritä tähän tiedostoon kaikkien Windows-käyttäjien käyttöoikeudet pelkiksi lukuoikeuksiksi. Petya ei iske huomatessaan tiedoston olevan olemassa.
  • Muuta psexec.exe:n suoritusta:  Luo avain nimeltä “psexec.exe” rekisteriin “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options” ja sen jälkeen luo REG_SZ arvo sille nimellä “Debugger” ja aseta kohteeksi “svchost.exe”. Näin oikea psexec ei käynnisty.
  • Estä paikallisten AD / GPO -tilien käyttö etäkirjautumiseen psexec/wmic yhdistelmän estämiseksi
  • Poista WMIC käytöstä Windowsissa jos sitä ei tarvita
  • Estä palomuurilla liikenne sisäänpäin portista 135/tcp (winrpc) wmic-käskyille
  • Estä palomuurilla liikenne sisäänpäin portista 445/tcp (cifs) tuleville Eternalblue-käskyille

Viimeisimmät tiedot viittaavat toimitusketjun kautta tapahtuneesta hyökkäyksestä

Tämänhetkisten raporttien mukaan haittaohjelma lähti liikkeelle ukrainalaisesta yrityksestä, joka kehittää kirjanpito-ohjelmistoja. Tämä saattaa tarkoittaa, että kyseisen yrityksen tietojärjestelmät saastuivat tai että hyökkääjät pystyivät saastuttamaan yrityksen asiakkaiden tietojärjestelmät yrityksen toimitusketjun välityksellä.

“Toimitusketjun kautta tapahtuvat iskut kulkevat palveluiden kautta, joita asiakkaat käyttävät”, sanoo F-Securen teknologia-asiantuntija Andy Patel.” Näiden ”puoliksi kohdennettujen” iskujen avulla useisiin yrityksiin tai yksilöihin voidaan soluttautua yhdellä operaatiolla. Emme tiedä oliko M.E.Docin infrastruktuuriin tunkeuduttu vai hyökättiinkö uhrien kimppuun toimitusketjun kautta.”

Ratkaisu: Kohdennettu hyökkäystapa tekee tämänkaltaisista hyökkäyksistä vaikeita havaita. Paras tapa puolustautua on hankkia käyttöön esimerkiksi F-Securen Rapid Detection Service -palvelu, joka tunnistaa haittaohjelmien aiheuttaman poikkeavan aktiviteetin verkossa.

Monet tietoturvaratkaisut, mukaan lukien F-Securen palvelut, tarjoavat yrityksille monia tapoja suojautua hyökkäysten eri taktiikoilta, tekniikoilta ja toimintamalleilta. Lisätietoa löytyy tästä blogikirjoituksesta.

 


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s