Petya Nedir? Nasıl bulaşır? Ne yapabiliriz?

 Petya Nedir? Nasıl bulaşır? Ne yapabiliriz?

Platin Bilişim Kıdemli Sistem Mühendisi, Cemile Denerel Başak

Petya, WannaCry gibi Windows SMBv1 güvenlik açığı (MS17-010) sayesinde hızla yaygınlık göstermiştir. NSA‘in ShadowBrokers tarafıdan açığa çıkarılan exploitlerinden olan EternalBlue‘yu kullanıp sisteme sızıyor ve sonrasında WMIC ve PSEXEC kullanarak ağda yayılma yeteneğine sahip oluyor.

 SMBv1 güvenlik açığının dışında diğer yayılma şekli ise spam e-postalardır. Kullanıcılara CVE-2017-0199 açığını kullanmak koşulu ile yayılmaktadır.

 Hedef kullanıcı CVE-2017-0199 açıklığını barındıran zararlı dosyayı çalıştırdıktan sonra zararlı bulaşmış oluyor ve, Petya aşağıdaki dosya türlerini şifreliyor. 
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip 

Petya Ransomware ayrıca, aşağıdaki wevtutil komutunu kullanarak windows olay günlüklerini temizliyor.

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c: 

Petya, şifreleme ve yayılım aşamalarını tamamladıktan sonra MBR'nin (Ana Önyükleme Kaydı) üzerine yazıyor ve makinenin zamanlanmış bir görevle yeniden başlatılmasına neden olmaktadır.

schtasks.exe /TR "%WINDIR%system32shutdown.exe /r /f" /ST 07:45

Tehdit Göstertergeleri :

Yeni Varyantlar (SHA256): 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

Bilinen Payload Hosting: 185.165.29[.]78/~alex/svchost.exe

Bilinen Ödeme Siteleri: 
mischapuk6hyrn72[.]onion 
petya3jxfp2f7g3i[.]onion 
petya3sen7dyko2n[.]onion 
mischa5xyix2mrhd[.]onion/MZ2MMJ 
mischapuk6hyrn72[.]onion/MZ2MMJ 
petya3jxfp2f7g3i[.]onion/MZ2MMJ 
petya3sen7dyko2n[.]onion/MZ2MMJ

Alınması gereken önlemler:

Kullanıcılara özellikle macro aktif edilmiş excel-word belgelerini günvendikleri yerlerden gelse bilme en olmadan açmamaları yönünde bilgilendirme maili atılmalı 

Tüm makinelerde UAC aktif edilmeli

Tüm Windows işletim sistemlerinde MS017-10 günvelik açıklığına yönelik yamaların yüklü olması

Kritik sistemlerin yedeklerinin alındığından emin olması

Symantec Endpoint Protection tarafında virus güncellemesinin güncel olduğunun sürekli kontrol edilmesi

Qradar (SIEM) üzerine sistemde olabilecek virus aktivitelerine yönelik alarmların oluşturulması

Symantec Messaing Gateway tarafında DISARM aktif edilmesi

Qradar ve Xforce kullananlarının aşağıdaki IoC'leri çalıştırmak koşulu ile Ransomware aktivitelerini tesbit etmeleri kolaylaşacaktır.