fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

CrowdStrike Falcon захищає від нового шкідливого ПЗ типу Wiper, що використовується в кібератаках проти України

Новина

CrowdStrike – компанія, яка може пишатися не лише своїми високоякісними та потужними рішеннями для захисту кінцевих точок, а й розвиненою корпоративною політикою. Компанія з першого дня свого існування співпрацює лише з країнами, які демонструють свою відданість європейським цінностям та ненасильницькій політиці. Команда CrowdStrike не розділяє бізнес та моральну складову. У той час, як багато IT-компаній у світлі сьогоднішніх кривавих подій в Україні лише починають усвідомлювати всю низькоморальність тіньової сторони країни-агресора, CrowdStrike жодного разу з моменту створення не працювала з такими країнами як росія, Іран, Китай, Північна Корея тощо. Ми закликаємо й інші IT-компанії припинити партнерські відносини з країною-агресором і щиро радіємо тому, що вже більшість наших вендорів це зробили.


23 лютого 2022 року стало відомо про появу нової шкідливої wiper-програми, яка вразила українські системи. Після серії атак типу "denial-of-service" та зламу низки українських вебсайтів нова шкідлива програма порушила роботу головного завантажувального запису (MBR), а також розділів та файлової системи всіх доступних фізичних дисків на машинах Windows.

Розвідка CrowdStrike дала назву цьому новому руйнівному ПЗ — DriveSlayer, і це вже друга програма типу Wiper, яка вразила Україну у розрізі недавніх атак з використанням шкідливої програми WhisperGate. DriveSlayer має цифровий підпис із використанням чинного сертифіката. Це програмне забезпечення зловживає легітимним драйвером EaseUS Partition Master для отримання доступу до диска та управління ним з метою приведення системи в непрацездатний стан.


Платформа CrowdStrike Falcon здатна забезпечити надійний та безперервний захист від DriveSlayer та загроз типу wiper, надаючи можливість відстежувати робочі навантаження в реальному часі для захисту клієнтів.

Перевірте ефективність рішення від CrowdStrike особисто, надіславши нам запит на тестування високоефективної платформи Falcon.


Технічний аналіз

На відміну від WhisperGate, який використовує високорівневі запити API, DriveSlayer використовує безпосередній доступ до диска для знищення даних.

При ініціалізації два додаткові параметри командного рядка можуть бути використані для вказівки часу сну шкідливої програми перед початком процесу знищення та перезавантаженням системи. Якщо вони не вказані, то за замовчуванням буде встановлено значення 20 і 35 хвилин.

Далі шкідлива програма переконується в тому, що вона має відповідні привілеї для виконання своїх руйнівних дій. Вона використовує API AdjustTokenPrivileges для присвоєння наступних привілеїв: SeShutdownPrivilege, SeBackupPrivilege і SeLoadDriverPrivilege.

Назва привілею Опис
SeShutdownPrivilege Забезпечує можливість вимкнення локальної системи
SeBackupPrivilege Забезпечує можливість виконання операцій системного резервного копіювання
SeLoadDriverPrivilege Забезпечує можливість завантаження чи вивантаження драйверів пристрою


Різноманітні драйвери будуть завантажуватися залежно від версії системи. Шкідлива програма використовує IsWow64Process для визначення версії завантажуваного драйвера. Ці драйвери зберігаються в секції ресурсів двійкового файлу та стискаються за допомогою алгоритму Lempel-Ziv. Файл драйвера записується в system32\drivers з 4-символьним, псевдовипадково згенерованим ім’ям. Після чого, цей файл розпаковується за допомогою LZCopy в новий файл з розширенням ".sys".

Приклад назви файлу Опис
C:\Windows\System32\drivers\bpdr Драйвер, стиснутий за допомогою алгоритму Лемпеля- Зіва
C:\Windows\System32\drivers\bpdr.sys Декомпресований драйвер


Перед завантаженням драйвера шкідлива програма відключає аварійний дамп, встановлюючи наступний ключ реєстру:

Реєстр Значення Опис
HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpEnabled 0 Вимикає аварійний дамп

Для завантаження драйвера створюється нова служба за допомогою API CreateServiceW. Назвою та іменем, що відображається для цієї служби, є 4-символьне значення, яке використовується для імені файлу. Потім StartServiceW циклічно запускається п'ять разів, щоб переконатися, що драйвер завантажено. Відразу після завантаження драйвера служба знищується шляхом видалення всього ключа реєстру.

Після завершення завантаження драйвера служба VSS вимикається за допомогою диспетчера служб керування. Потім утворюється кілька додаткових потоків. Один із потоків створюється з метою обробки перезавантаження системи. Він перебуватиме в режимі сну протягом часу, вказаного параметром командного рядка, що дорівнює 35 хвилин, після чого система буде перезавантажена викликом API InitializeSystemShutdownExW.

Інший потік вимикає функції інтерфейсу користувача, які можуть попередити користувача про підозрілі активності, що відбувається в системі, перед ітерацією підключених дисків.

Реєстр Значення Опис
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowCompColor
0 Відключення кольорів для стиснених та зашифрованих файлів NTFS
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowInfoTip
0 Відключення спливаючих сповіщень про папки та елементи робочого столу


Нарешті, шкідлива програма починає свою руйнівну роботу, породжуючи безліч додаткових потоків, які перезаписують файли на диску та знищують таблиці розділів. Після перезавантаження системи користувач побачить порожній екран із написом "Операційна система відсутня".


Безперервний моніторинг і видимість платформи Falcon зупиняють руйнівний вплив DriveSlayer

Платформа Falcon використовує багаторівневий підхід захисту робочих навантажень. Використовуючи on-sensor та cloud-based машинне навчання, behavior-based виявлення з використанням індикаторів атак (IOA) та розвіддані про тактики, методи та процедури (TTP), що застосовуються суб'єктами загроз, платформа Falcon забезпечує видимість, виявлення та безперервний моніторинг для будь-якого середовища, скорочуючи час на пошук та усунення загроз.

Як проілюстровано на рисунку 1, Falcon використовує хмарне машинне навчання для виявлення DriveSlayer і запобігання виконання програмою шкідливих дій, таких як завантаження додаткових компонентів.


Рисунок 1. Хмарне машинне навчання платформи Falcon виявляє DriveSlayer wiper


IOA платформи Falcon, засновані на поведінкових факторах, можуть виявляти та запобігати виконанню підозрілих процесів або завантаженню додаткових компонентів, а також інші види шкідливої поведінки. Наприклад, Falcon здатний визначити таку поведінку DriveSlayer, як втручання у певні ключі реєстру. Behavior-based виявлення додатково накладається традиційне виявлення хешів на основі індикаторів компрометації (IOC) (див. рисунок 2).


Рисунок 2. CrowdStrike Falcon виявляє та запобігає деструктивній діяльності DriveSlayer


DriveSlayer не має вбудованих технологій розповсюдження по інфраструктурах, а відомості про його використання в атаках на українські системи поки що обмежені. Компанія CrowdStrike і надалі стежитиме за ситуацією та повідомлятиме про те, що відбувається.

Клієнти CrowdStrike Falcon можуть здійснювати проактивний моніторинг своїх середовищ за допомогою hunting-запитів для виявлення індикаторів присутності DriveSlayer. Ознайомтеся з коротким описом DriveSlayer та способами його пошуку на порталі підтримки CrowdStrike.

iIT Distribution як офіційний дистриб'ютор рішень компанії CrowdStrike наполегливо рекомендує організаціям, що стикаються з ризиками кіберінцидентів, вжити заходів щодо підвищення своєї операційної стійкості. Рішення безпеки від CrowdStrike здатні захистити від шкідливого ПЗ та загрози знищення даних, забезпечуючи повну видимість середовища та інтелектуальний моніторинг хмарних ресурсів з метою виявлення та реагування на потенційні загрози – у тому числі руйнівні – та обмеження можливої шкоди від них.

Назад

Mobile Marketing
+