NotPetya

NotPetya

0 46

Как WannaCry, так и новые варианты Petya, которые появились ранее на этой неделе (включая NotPetya), использовали ту же уязвимость Windows SMB, что Microsoft выпустила патч в марте. Несмотря на то, что Microsoft выпустила исправление до того, как ShadowBrokers просочились в эксплойт EternalBlue, нацеленный на эту уязвимость, миллионы компьютеров по-прежнему подвергались нападениям. Тем не менее, в области кибербезопасности общеизвестно, что WannaCry и NotPetya были построены с помощью EternalBlue. Теория из Энди Патела из F-Secure сильно расширяет предположение NotPetya.

«Модуль распространения сети, вероятно, уже разрабатывался в феврале», — писал Пател.

Два неназванных коллектива F-Secure добавили свои мысли.

«Мы не сможем определить временную метку для использования инструментов NSA, поскольку она является частью основного DLL-кода, который имеет метку времени в июне».

«Кроме того, в этом конкретном примере Petya шеллкод в сочетании с эксплойтами. То есть, они не просто подключили шеллкод, не тестируя его с помощью своей версии эксплойта SMB ».

Пател в своих примечаниях сделал свои замечания. «Некоторые из полезных нагрузок, используемых компонентом распространения сети, имеют отметки времени компиляции с февраля 2017 года. Даты компиляции на этих полезных нагрузках не имеют никакого отношения к тому, когда вечные эксплойты были реализованы в коде распространения сети».

WannaCry, по-видимому, является работой сценаристов kiddies-кибер-атакующих любителей, которые используют скрипты, разработанные только другими сторонами, не производя собственный код или не обнаруживая своих собственных эксплойтов. У выкупной системы даже нет эффективной схемы монетизации. NotPetya — это нечто совершенно иное, и есть здравые теории, которые он разработал национальным государством. Кроме того, элемент Ransomeware NotPetya, возможно, был просто манерой.

«Это определенно не предназначено для зарабатывания денег. Это предназначено для быстрого распространения и нанесения ущерба, с правдоподобным покрытием «выкупа», — сказал г-н Грюк в Twitter.

Tweet from F-Secure with the timestamps that are the basis for the theory that NotPetya started development before the EternalBlue leak.

Tweet от F-Secure с отметками времени, которые являются основой для теории, что NotPetya начал разработку до утечки EternalBlue.

Вам также могут понравиться Еще от автора

Оставьте ответ

Ваш электронный адрес не будет опубликован.