08:41, 16 Май 2017 | GMT +6

Казахстанская компания сделала анализ вируса WannaCry

АСТАНА. КАЗИНФОРМ - 12 мая произошла массовая атака вирусом-шифровальщиком WannaCry нацеленного почти на все версии MS Windows. В результате атаки были заражено более 75 000 компьютеров по всему миру. В том числе, по официальным данным, атаке подверглись компьютеры в Казахстане в лице больших компаний. Об этом сообщил член международного бизнес-клуба «Алтын Орда» Арнур Тохтабаев.

Данный вирус выводит сообщение, где требуется выкуп от $300 до $600 (в криптовалюте Bitcoin) за расшифровку файлов.

Для распространения шифровальщика злоумышленниками используется критическая уязвимость MS17-010 в протоколе SMBv1. Хотя согласно официальному бюллетеню безопасности данной уязвимости подвержены версии Windows начиная с Vista, но последствия атаки оказались настолько серьезными, что компания Microsoft видимо решила подстраховаться и пошла на беспрецедентный шаг - был выпущен патч даже на снятую с поддержки Windows XP.

Специалистами компании были проанализированы 2 объекта, относящиеся к данной атаке с помощью системы tLab. Система tLab успешно идентифицировала оба объекта как вредоносное ПО, присвоив высокий уровень угрозы по результатам статического и динамического анализов. TLab представляет уровень угрозы в мета-процентах (может быть более 100%), если выше предела опасности (85% по умолчанию) - считается вредоносным (выделяется красным). Предел опасности выставляется администратором tLab.

В результате были обнаружены несколько индикаторов потенциальных угроз (функциональностей) таких, как закрепление в ОС, нетипичная сетевая активность, модификация ОС и данных пользователя и прокси-активность. При этом первый объект продемонстрировал в полтора раза больший уровень угрозы. Это связано с тем, что данный объект имеет дополнительные функциональности, в том числе механизм само-распространения в виде сетевого червя.

На основе обнаруженных индикаторов система автоматически выставила экспертный вердикт - опасно. На поведенческом уровне оба объекта схожи и шифруют файлы пользователя за исключением того, что первый объект имеет функции сетевого червя и пытается распространяться в сети через уязвимость в SMBv1. Для этого он перебирает множество IP-адресов случайным образом и пытается соединиться на порт 445 (SMB). За 20 минут динамического анализа в песочнице, вирус успел перебрать более 60 000 IP-адресов из различных диапазонов. Таким образом, вирус обладает способностью к самораспространению не только по локальной сети жертвы, но и возможность атаковать другие компьютеры в мировом масштабе.

По результатам анализа, данный вредонос имеет сложную структуру активности которая выражается в использовании множества независимых компонентов, резервировании объектов и методов прокси-деятельности. Как видно из цепочки активности полученной в системе tLab, изначальный вирус извлекает ряд объектов и через них закрепляется в системе (автозапуск), перебирает входные узлы Tor сети, модифицирует настройку ОС и запускает компоненты шифрования пользовательских файлов. Более полная цепочка активности демонстрирует факт многократного запуска извлеченных компонентов шифровальщика, что в свою очередь было зафиксировано системой tLab как аномальная массовая активность с высоким уровнем угрозы.

При всем объеме заложенной функциональности данный вирус не обладает приемами сокрытия своего присутствия. Попытка скрыть свое присутствие или идентифицировать среду исполнения сегодня классифицируется как критичный IoC (Indicator of Compromise, индикатор вредоносности). Соответственно мы наблюдаем тренд, когда вредоносные программы стараются не выделяться из общего потока легитимной активности таких программ, как инсталляторы, архиваторы, менеджеры файлов. Однако даже при таком подходе к разработке вредоноса, система tLab способна распознать угрозу благодаря нашей технологии глубокого поведенческого анализа.

Теги:

Связь, ТВ, IT Развитие IT технологий в Казахстане Астана

Сейчас читают

Ещё больше новостей в нашем Телеграм-канале!