УКР
10478 відвідувачів онлайн
Кіберполіція назвала програму, через яку здійснювали хакерську атаку
Хакерську атаку на Україну здійснювали через програму для документообігу M.E.doc.
Як інформує Цензор.НЕТ, про це йдеться у повідомленні кіберполіції.У повідомленні зазначено: "На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу).
Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: "upd.me-doc.com.ua" (92.60.184.55) за допомогою User Agent "medoc1001189".
Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.
Більшість легітимниг "пінгів" (звернень до серверу) дорівнює приблизно 300 байт.
Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:
- створено файл: rundll32.exe;
- звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
-створення файлу: perfc.bat;
- запуск cmd.exe з наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\system32\shutdown.exe /r /f" /ST 14:35";
- створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
- створення файлу: dllhost.dat.
В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі Samba (яка також використовувалась під час атак WannaCry).
Рекомендація:
- тимчасово не застосовувати оновлення, які пропонує програмне забезпечення "M.E.doc." при запуску".
Нагадаємо, 27 червня сервери багатьох державних установ і комерційних структур в Україні зазнали масштабної кібератаки.
Топ коментарі
Особенно резюме как *.pdf.pif - весьма даже оригинально, имхо
Майкрософт(!!!) у себя в блоге пишет, что таки Медок виноват
Под https://www.facebook.com/cyberpoliceua/posts/536947343096100 постом киберполиции про заражение обновы медка , и в самом https://www.facebook.com/medoc.ua/posts/1904044929883085?hc_location=ufi фейсбуке медка
Медок признаёт что их офис подхватил заразу, даже фото заблокированного компа запостили
Но что обновы заразились не признают напрочь, на ссылку от майкрософта пока никак не реагируют))
Вот хочу видеть, как хоть кто то нагнёт медок на компенсацию - сдаётся мне не будет такого, несмотря на выводы киберполиции и подтверждения аж из самого майкрософта
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
У Microsoft теперь есть доказательства того, что несколько активных инфекций выкупа первоначально начались с законного процесса обновления Medoc. Как мы отмечали ранее, атаки цепочки поставок программного обеспечения представляют собой недавнюю опасную тенденцию с атакующими, что требует передовой защиты.
Мы наблюдали телеметрию, показывающую процесс обновления программного обеспечения MEDoc (EzVit.exe), выполняющий вредоносную командную строку, соответствующую этой точной схеме атаки во вторник, 27 июня, около 10:30 по Гринвичу.
Схема последовательности выполнения, ведущая к установке ransomware, представлена на рисунке ниже и по существу подтверждает, что процесс EzVit.exe из MEDOC по неизвестным причинам в какой-то момент выполнил следующую командную строку:
C: \\ Windows \\ system32 \\ rundll32.exe \ "\" C: \\ ProgramData \\ perfc.dat \ ", # 1 30
Подчеркнуто мной. Итак, последний раз пишу просто, проще мне образование не позволяет: не сидит и не сидел вирус в Медке. Вирус сидит в обновлении к Медку. Пока не скачано и не раскрыто обновление - заражения Медка как и конкретного компа не существует. Так понятно? А вот по каким причинам процесс обновления пошел не по плану, так и самим светилам с Майкрософт не ясно. Вывод: пользуясь компом и сетью будь готов в любую минуту к вирусной атаке. И никакие защитные средства могут не сработать.
В той же час Майкрософт скромненько мовчить, що це на його операційній системі і через його прогалини в безпеці вірус має можливість потрапити на ПК. Але мова не про те.
Аналізуючи схематичне зображення за даним посиланням, як бачимо схематично, майкрософт говорить про те, що батьківським процесом запуску шкідливого коду (згідно номеру процесу 6020) є файл ezvit.exe. Всім, хто знайомий з медком, чудово відомо, що ezvit.exe ну ні фіга не апдейтер, як стверджує Майкрософт (ось витяг з тексту "software updater process (EzVit.exe) "). Це основний виконуваний файл програми. Більше того, в момент початку оновлення МЕДок процес ezvit.exe припиняє свою роботу (програма просить закриття для проведення оновлення). Роботу починає файл update.exe. Тепер наступне. Ви вже визначтесь, будь ласка. perfc.bat чи perfc.dat. І ще одне, те, що процес 6020 (ezvit.exe) є батьківським для unicrypt.exe - абсолютно логічно, оскільки unicrypt є файлом, що необхідний шифрування даних при накладанні електронно-цифрового підпису і немає жодного відношення до шифрування всіх даних на комп'ютері. Також, наскільки відомо мені і вікіпедії rundll32.exe є "Хост-процесс Windows (Rundll32) - компонент операционных систем семейства https://ru.wikipedia.org/wiki/Microsoft_Windows Microsoft Windows , запускающий программы, находящиеся в https://ru.wikipedia.org/wiki/DLL динамически подключаемых библиотеках https://ru.wikipedia.org/wiki/Rundll32.exe#cite_note-1 [1] . Находится по адресу https://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81%D1%80%D0%B5%D0%B4%D1%8B %WINDIR% \System32\rundll32.exe" стандартним файлом операційної системи. І, як показано на схемі, батьківським процесом саме цього файлу є ezvit.exe. А вже rundll32.exe підхоплює perfc.dat (.bat). Тому, видається мені, рано потирати руки деяким (прости Господи) аналітикам
Вывод - надо переходить на программные продукты отечественного производства, например http://sonata.biz.ua/ Соната .