First-hand experience shared by the guy who has been a part of the June, 27 attack investigation and response from the very beginning.

1. Close look at Nyetya investigation
Volodymyr Ilibman
Cisco Ukraine

2. О чем будем говорить
• Расследование
• Анализ поведения Nyetya
• Выводы и стратегии предотвращения

3. Хронология событий 27 июня
Стали приходить
первые сообщения о
заражении
11:00 – 12:00
Массовые заражения
(между 12.00 и 16.00)
17:50 Первые
результаты
исследований Talos
опубликованы в блоге
21:33. Первое
официальное
упоминание о векторе
заражения

4. Сэмпл был перехвачен в 12:54 у одного из
клиентов

5. Было замечено очень быстрое распространение
по сети через SMB

6. Распространение занимало 10-30 минут

7. Хронология событий 27 июня
Стали приходить
первые сообщения о
заражении
11:00 – 12:00
Массовые заражения
(между 12.00 и 16.00)
17:50 Первые
результаты
исследований Talos
опубликованы в блоге
21:33. Первое
официальное
упоминание о векторе
заражения

8. Вечером 29 июня в Киев прибыла команда
реагирования Cisco для помощи Talos-у на месте

9. M.e.Doc Connection

10. The Backdoor
Contacts upd.me-doc.com.ua every 2 mins
If finds a proxy:
Retrieve email data from local me-doc
Wait for & execute commands
These commands almost certainly used to
distribute Nyetya.

11. M.e.Doc Connection

12. Restoring Connections

13. Анализ поведения Nyetya

14. Propagation
ETERNALBLUE
Scans IP subnet
139 TCP
Perfc.dat
PSEXEC
WMI
ETERNALROMANCE

15. Malware Credential Stealing
• Command line
– Modified version of Mimikatz pen testing tool.
– Credentials passed over a named pipe.
• Malware collects stolen credentials as it propagates.
• Collects users token via Windows API.
rundll32.exe C:Windowsperfc.dat,#1 60 "username:password”
C:WINDOWSTEMP561D.tmp, .pipe{C1F0bf2d-8c17-4550-af5a-65a22c61739c}

16. Propagation
Perfc.dat
If MS17-010 not applied:
Trigger EB or ER exploits.
Installs modified DP backdoor.
Installs perfc.dat, executes as a dll.
DoublePulsar – modified command codes
modified response codes
modified response location in SMB packet
ETERNALBLUE
ETERNALROMANCE
MODIFIED
DOUBLEPULSAR

17. Propagation
Perfc.dat
PSEXEC
Drops PsExec as dllhost.dat.
Uses stolen user token.
Connects to new machine (IP: w.x.y.z).
Installs perfc.dat, executes as a dll.
C:WINDOWSdllhost.dat w.x.y.z -accepteula -s -d
C:WindowsSystem32rundll32.exe C:Windowsperfc.dat,#1

18. Propagation
Perfc.dat
WMI
Uses stolen username & password.
Connects to new machine (IP: w.x.y.z).
Installs perfc.dat, executes as a dll.
Wbemwmic.exe /node:"w.x.y.z" /user:"username" /password:"password"
"process call create "C:WindowsSystem32rundll32.exe
"C:Windowsperfc.dat" #1"

19. Encryption Process
Schedule reboot in 1hr
Encrypts files
RSA 2048
Escalate privileges of current user
Encrypts MBR
(if administrator)
Final log clean up
ETERNALBLUE
PSEXEC
WMI
ETERNALROMANCE

20. Payload

21. Genuine Ransomware?
§ Single bitcoin wallet means difficult to follow who has paid.
§ Single contact email address, now blocked
§ you can’t contact the criminals even if you want to.
§ If admin, MBR is overwritten.
§ If MBR not overwritten, wipes first 10 disk sectors.
§ If have software “avp.exe” running, wipes first 10 disk sectors.

22. Связной M.E.Doc
Полный отчет
Eng:
http://blog.talosintelligence.com/2017/07/the-medoc-connection.html
Укр:
http://www.cisco.com/c/dam/global/ru_ua/solutions/security/ransomware
/pdfs/cisco_blog_ransomware_attack_ua_upd4-graphics.pdf

23. Cisco Talos: “Злоумышленники отказались то возможности доставлять любой код в
80% вредоносных компаний, которые используют M.E.Doc. Маловероятно терять
доступ такого уровня без уверенности, что можно получить аналогичный доступ с
высоким приоритетом в будущем
Один из выводов

24. Мифы, развенчанные атакой
1. Обновлений Windows хватает для
защиты
2. Антивирусы с эвристикой могут
предотвратить заражение
3. Файервол cпособен в одиночку
остановить распространение
вирусов
4. Пользователь - самое слабое звено
5. Все беды из-за фишинга

25. WHAT COULD HAVE BEEN DONE
DIFFERENTLY?
1. Secure Development Lifecycle

26. WHAT COULD HAVE BEEN DONE
DIFFERENTLY?
2. Threat Information Exchange

27. WHAT COULD HAVE BEEN DONE
DIFFERENTLY?
3. Защитить себя

28. WHAT COULD HAVE BEEN DONE
DIFFERENTLY?
§ Patching
§ Least Functionality
§ Least Privilege
§ System and Network Monitoring
§ Network Segmentation
§ Processes and Policies
http://blog.talosintelligence.com/2017/08/worm-defense.html
Back to Basics: Worm Defense in the Ransomware Age

29. Безопасность серверных и клиентских ОС
....Patching and upgrades should
be prioritized on these systems
and customers should move to
transition these systems to
Windows 10, following
the guidance from Microsoft on
securing those systems…
Cisco TALOS
The MEDoc Connection
Безопасность ОС
Windows 10, Mac и Linux не являются панацеей

30. Безопасность серверных и клиентских ОС
Безопасность ОС
+ Ограничение/разграничение доменных полномочий
+ Создание белых/черных списков процессов
+ Мониторинг использования системных и сетевых ресурсов
+ Двухфакторная аутентификация
+ Использование систем Breach Detection Systems / EDR/ “песочниц”
…..

31. Снижение рисков Supply Chain
• Идентификация сервисов
сторонних компаний и
самописаного ПО
• Выделение сервисов в
отдельную зону(ы) безопасности
• Сегментация и минимизация
полномочий
Supply-Chain

32. • Разбить сеть на сегменты (DC, филиалы, внешние сервисы,
партнеры…)
• Ограничить или запретить трафик между сегментами (включая
TCP 139/445)
• Новое направление - микросегментация
Сегментация внутренней сети
Ограничить сферу распространения malware
Сегментация

33. Подход DefCon в применении политик безопасности
Политики в зависимости от уровня угрозы

34. Подготовить и проверить планы реагирования
/Disaster Recovery/BCP

35. Stay Informed
Spreading security news, updates, and
other information to the public
ThreatSource Newsletter
cs.co/TalosUpdate
Social Media Posts
Facebook: TalosGroupatCisco
Twitter: @talossecurity
White papers, articles, & other information
talosintelligence.com
Talos Blog
blog.talosintelligence.com
Instructional Videos
cs.co/talostube

36. www.talosintelligence.com
blog.talosintel.com
@talossecurity