Команда аналитиков из английской компании NCC Group отчиталась о завершении 16-месячного эксперимента, в ходе которого им удалось изучить механизмы распространения вайпера NotPetya и обнаружить факторы, существенно снижающие риск заражения.

В процессе испытаний специалисты выпустили созданный ими эмулятор зловреда в сеть одного из своих клиентов, чтобы вместе с IT-экспертами заказчика наблюдать за атакой. Проанализировав полученные результаты, исследователи выяснили, что защититься от нападения вредоносной программы позволяет установка одного параметра в настройках Active Directory.

По просьбе одного из своих клиентов, желавшего проанализировать последствия возможной атаки NotPetya, специалисты по информационной безопасности создали эмулятор, получивший название EternalGlue. Программа является клоном шифровальщика, однако лишена деструктивного функционала, а также имеет «выключатель», позволяющий остановить нападение.

Эксперимент начался в июле 2017 года с определения параметров проекта, а уже в сентябре первая версия EternalGlue прошла тестирование в изолированной среде. К началу декабря исследователи выпустили эмулятор зловреда в специально созданную для исследования сеть, состоящую из более чем ста хостов. В результате атаки червь сумел за 45 минут заразить 107 тестовых компьютеров, из которых лишь на трех не были установлены патчи, препятствующие эксплойту EternalBlue, — один из путей распространения NotPetya.

Команде исследователей потребовался почти год, чтобы подвести итоги предварительного этапа и подготовиться к запуску EternalGlue в реальной сети промышленного предприятия. В зловреде были удалены все функции, позволяющие ему проникнуть за пределы корпоративной IT-среды, а также установлен запрет на атаку определенных элементов производственной инфраструктуры.

Финальная стадия эксперимента стартовала 8 ноября 2018 года и охватила 216 компьютеров клиента NCC Group. Первый сценарий был запущен около 9 утра, а в 14:50 эксперты приняли решение остановить распространение эмулятора и дали программе команду на самоуничтожение.

По результатам эксперимента ИБ-специалисты сделали вывод, что установка параметра «Учетная запись важна и не может быть делегирована» (Account is sensitive and cannot be delegated) в настройках Active Directory позволяет существенно снизить риск заражения и остановить распространение вайпера.

Как пояснили эксперты, NotPetya использует в своей атаке модифицированный эксплойт EternalBlue, основанный на уже пропатченной Microsoft уязвимости SMB-протокола, или механизм делегирования токенов с правами администратора домена, который и необходимо отключить при конфигурировании службы каталогов.

Атаки шифровальщика NotPetya начались в июне 2017 года и затронули такие крупные компании, как FedEx, Maersk и Reckitt Benckiser. Как выяснили специалисты «Лаборатории Касперского», восстановление зашифрованных файлов невозможно, поэтому уплата выкупа в данном случае бессмысленна.

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона