fbpx

Наши представительства: 

Заказать обратный звонок
btn

CrowdStrike Falcon защищает от нового вредоносного ПО типа Wiper, используемого в кибератаках против Украины

Новость

CrowdStrike – компанія, яка може пишатися не лише своїми високоякісними та потужними рішеннями для захисту кінцевих точок, а й розвиненою корпоративною політикою. Компанія з першого дня свого існування співпрацює лише з країнами, які демонструють свою відданість європейським цінностям та ненасильницькій політиці. Команда CrowdStrike не розділяє бізнес та моральну складову. У той час, як багато IT-компаній у світлі сьогоднішніх кривавих подій в Україні лише починають усвідомлювати всю низькоморальність тіньової сторони країни-агресора, CrowdStrike жодного разу з моменту створення не працювала з такими країнами як росія, Іран, Китай, Північна Корея тощо. Ми закликаємо й інші IT-компанії припинити партнерські відносини з країною-агресором і щиро радіємо тому, що вже більшість наших вендорів це зробили.


23 февраля 2022 года стало известно о появлении новой вредоносной wiper-программы, поразившей украинские системы. После серии атак типа "denial-of-service" и взлома ряда украинских веб-сайтов новая вредоносная программа нарушила работу главной загрузочной записи (MBR), а также разделов и файловой системы всех доступных физических дисков на машинах Windows.

Разведка CrowdStrike дала название этому новому разрушительному ПО — DriveSlayer, и это уже вторая программа типа Wiper, поразившая Украину в свете недавних атак с использованием вредоносной программы WhisperGate. DriveSlayer имеет цифровую подпись с использованием действующего сертификата. Это ПО злоупотребляет легитимным драйвером EaseUS Partition Master для получения доступа к диску и управления им с целью привести систему в неработоспособное состояние.


Платформа CrowdStrike Falcon способна обеспечить надежную и непрерывную защиту от DriveSlayer и угроз типа wiper, предоставляя возможность отслеживать рабочие нагрузки в реальном времени для защиты клиентов.

Проверьте эффективность решения от CrowdStrike лично, отправив нам запрос на тестирование высокоэффективной платформы Falcon.


Технический анализ

В отличие от WhisperGate, который использует высокоуровневые вызовы API, DriveSlayer использует прямой доступ к диску с целью уничтожения данных.

При инициализации, два дополнительных параметра командной строки могут быть использованы для указания времени сна вредоносной программы перед началом процесса уничтожения и перезагрузкой системы. Если они не указаны, то по умолчанию будет задано значение 20 и 35 минут.

Далее вредоносная программа убеждается в том, что у нее есть соответствующие привилегии для выполнения своих разрушительных действий. Она использует API AdjustTokenPrivileges для присвоения себе следующих привилегий: SeShutdownPrivilege, SeBackupPrivilege и SeLoadDriverPrivilege.

Название привилегии Описание
SeShutdownPrivilege Обеспечивает возможность выключения локальной системы
SeBackupPrivilege Обеспечивает возможность выполнения операций резервного копирования системы
SeLoadDriverPrivilege Обеспечивает возможность загрузки или выгрузки драйвера устройства


Разнообразные драйверы будут загружаться в зависимости от версии системы. Вредоносная программа использует IsWow64Process для определения версии загружаемого драйвера. Эти драйверы хранятся в секции ресурсов двоичного файла и сжимаются с помощью алгоритма Lempel-Ziv. Файл драйвера записывается в system32\drivers с 4-символьным, псевдослучайно сгенерированным именем. Затем этот файл распаковывается с помощью LZCopy в новый файл с расширением ".sys".

Пример названия файла Описание
C:\Windows\System32\drivers\bpdr Драйвер, сжатый с помощью алгоритма Лемпеля-Зива
C:\Windows\System32\drivers\bpdr.sys Декомпрессированный драйвер


Перед загрузкой драйвера вредоносная программа отключает аварийный дамп, устанавливая следующий ключ реестра:

Реестр Значение Описание
HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpEnabled 0 Отключает аварийный дамп

Для загрузки драйвера создается новая служба с помощью API CreateServiceW. Именем и отображаемым именем для этой службы является 4-символьное значение, используемое для имени файла. Затем StartServiceW запускается в цикле пять раз, чтобы убедиться, что драйвер загружен. Сразу после загрузки драйвера служба уничтожается путем удаления всего ключа реестра.

После завершения процесса загрузки драйвера служба VSS отключается с помощью диспетчера служб управления. Затем создается несколько дополнительных потоков. Один из потоков создается с целью обработки перезагрузки системы. Он будет находиться в режиме сна в течение времени, указанного параметром командной строки, равного 35 минутам, после чего система будет перезагружена вызовом API InitializeSystemShutdownExW.

Другой поток отключает функции пользовательского интерфейса, которые могут предупредить пользователя о подозрительной активности, происходящей в системе, перед итерацией подключенных дисков.

Реестр Значение Описание
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowCompColor
0 Отключение цветов для сжатых и зашифрованных файлов NTFS
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowInfoTip
0 Отключение всплывающей информации о папках и элементах рабочего стола


Наконец, вредоносная программа начинает свою разрушительную работу, порождая множество дополнительных потоков, которые перезаписывают файлы на диске и уничтожают таблицы разделов. После перезагрузки системы пользователь увидит пустой экран с надписью "Операционная система отсутствует".


Непрерывный мониторинг и видимость, предоставляемые платформой Falcon останавливают разрушительное влияние DriveSlayer

Платформа Falcon использует многоуровневый подход для защиты рабочих нагрузок. Используя on-sensor и cloud-based машинное обучение, behavior-based обнаружение с использованием индикаторов атак (IOA) и разведданные о тактиках, методах и процедурах (TTP), применяемых субъектами угроз, платформа Falcon обеспечивает видимость, обнаружение и непрерывный мониторинг для любой среды, сокращая время на поиск и устранение угроз.

Как показано на рисунке 1, платформа Falcon использует облачное машинное обучение для обнаружения DriveSlayer и предотвращения выполнения вредоносной программой зловредных действий, таких как загрузка дополнительных компонентов.


Рисунок 1. Облачное машинное обучение платформы Falcon обнаруживает DriveSlayer wiper


IOA платформы Falcon, основанные на поведенческих факторах, могут выявлять и предотвращать выполнение подозрительных процессов или загрузку дополнительных компонентов, а также другие виды вредоносного поведения. Например, Falcon способен определить такое поведение DriveSlayer, как вмешательство в определенные ключи реестра. Behavior-based выявление дополнительно накладывается на традиционное обнаружение хэшей на основе индикаторов компрометации (IOC) (см. Рисунок 2).


Рисунок 2. CrowdStrike Falcon выявляет и предотвращает деструктивную деятельность DriveSlayer


DriveSlayer не имеет встроенных технологий распространения по инфраструктурам, а сведения о его использовании в атаках на украинские системы пока ограничены. Компания CrowdStrike и дальше будет следить за ситуацией и сообщать о происходящем по мере ее развития.

Клиенты CrowdStrike Falcon могут осуществлять проактивный мониторинг своих сред с помощью hunting-запросов для выявления индикаторов присутствия DriveSlayer. Ознакомьтесь с кратким описанием DriveSlayer и способами его поиска на портале поддержки CrowdStrike.

iIT Distribution как официальный дистрибьютор решений компании CrowdStrike настоятельно рекомендуем организациям, сталкивающимися с рисками киберинцидентов, принять меры по повышению своей операционной устойчивости. Решения безопасности от CrowdStrike способны защитить от вредоносного ПО и угрозы уничтожения данных, обеспечивая полную видимость среды и интеллектуальный мониторинг облачных ресурсов с целью обнаружения и реагирования на потенциальные угрозы - в том числе разрушительные - и ограничения возможного ущерба.

Назад

Mobile Marketing
+