CERTFR-2017-ALE-012
Vulnerability from certfr_alerte
Le CERT-FR constate une recrudescence d'activité de maliciel prenant l'apparence d'un rançongiciel possédant une forte capacité de réplication. En particulier, plusieurs échantillons possèdent la capacité de se propager en utilisant aussi bien des codes d'exploitation du protocole SMB que des identifiants légitimes volés sur la machine compromise (à l'aide de PSExec et du protocole WMI).
Cette capacité de propagation multiple rend potentiellement vulnérables certains réseaux qui, malgré l'application de mises à jour, ne restreignent pas la latéralisation et l'abus d'identifiants.
Vecteurs du0027infection
L'ANSSI ne dispose pas à cette heure de preuves relatives au vecteur
initial d'infection.
L'usage envisagé de la vulnérabilité CVE-2017-0199 semble désormais
exclu. Microsoft indique que le logiciel de paiement de taxe MEDoc
pourrait être l'un des vecteurs initiaux d'infection via une mise à jour
automatique.
Lorsque le maliciel s'exécute, celui-ci commence par s'attribuer autant de droits que son niveau de privilèges lui permet. Il vérifie ensuite si certains logiciels anti-virus sont présents. S'il possède le privilège SeDebugPrivilege, il cherche la présence d'un fichier avant de continuer son exécution. Dans ce cas, celui-ci fait office de ce que l'on appelle communément un killswitch. Le nom de ce fichier est déterminé à partir du nom de l'exécutable malveillant pour lequel l'extension a été retirée. Sur les souches identifiées actuellement, le nom constaté du binaire est C:\Windows\perfc.dat. Par conséquent le fichier vérifié avant exécution est C:\Windows\perfc. Sur ces souches, la présence de ce fichier arrêtera l'exécution du maliciel avant toute action destructrice.
Si ce fichier n'est pas présent, le maliciel va alors modifier le Master Boot Record (MBR) afin d'effectuer des actions destructrices au prochain démarrage de la machine. S'il rencontre une erreur lors de cette opération, alors les dix premiers secteurs du disques seront réécrits avec des zéros pour empêcher la machine de démarrer. Ceci est par exemple le cas si le disque a une table de partition GPT (GUID Partition Table) au lieu de MBR. L'effet généralement constaté est un écran noir à la place du message de rançon. Dans ce cas, le système est récupérable à condition de reconstruire la table de partition.
Ensuite, il tente de créer une tâche planifiée réalisant un redémarrage de la machine.
Le maliciel va alors commencer à énumérer les équipements présents sur le réseau interne afin de se propager.
Des droits élevés permettent au maliciel de voler les mots de passe locaux soit en utilisant un outil de type Mimikatz en version 32 ou 64 bits, et en faisant appel à l'API CredEnumerateW. Le logiciel malveillant dispose de plusieurs capacités pour se propager sur le réseau :
- en utilisant les identifiants récupérés sur la machine ainsi que l'outil légitime d'administration PSExec et du protocole WMI ;
- en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010).
Après avoir tenté de se propager, le maliciel chiffre les fichiers locaux de l'utilisateur en les ciblant en fonction de leur extension. Cette étape est assez longue et dépend du volume de données présentes sur le disque. Une fois le chiffrement terminé, le logiciel malveillant cherche à redémarrer la machine. En fonction des versions de Windows, cela se fera soit par le déclenchement de la tâche planifiée, soit en provoquant une erreur qui débouchera sur un écran bleu dit "de la mort".
Selon le résultat des actions précédentes, la machine :
- redémarrera normalement mais les fichiers seront inaccessibles ;
- ne redémarrera pas ;
- redémarrera avec un message affiché indiquant qu'une vérification de l'intégrité des disques est en cours.
Dans ce dernier cas, le maliciel chiffre la MFT (Master File Table). Il s'agit d'un index des fichiers et répertoires présents sur le disque. Cela a pour conséquence de rendre inaccessibles les fichiers présents sur la machine. Enfin, le maliciel s'installe à la place du secteur de démarrage de Windows afin d'afficher le message de rançon. La clé utilisée pour chiffrer la MFT étant détruite dans le processus, il est impossible d'obtenir son déchiffrement même en échange du paiement de la rançon.
Résumé des actions du maliciel
Les différentes actions entreprisent par le maliciel sont conditionnés par plusieurs vérifications au cours de son éxecution. Le tableau ci-après synthétise les événements en fonction du contexte d'éxecution du logiciel malveillant, notamment les privilèges dont dispose le processus, le type de secteur d'amorçage ou la présence de logiciel antivirus.
**Tableau 2:** Résumé des actions du maliciel suivant ses privilèges, le type de secteur d'amorçage, ou la présence de logiciel antivirus | | | | | | | | | | |:-------------------------------------------------------------------------------------------------------------------|:---------------------------------------------------------|:--------------------------------------:|:-----------------------------------------:|:----------------------------------:|:----------------------------------:|:----------------------------------------:|:----------------------------------------------:|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | **Action** | **SeDebug** | **SeTcb** | **SeShutdown** | **MBR** | **GPT** | **Kaspersky** | **Symantec/Norton** | **Commentaires** | | Vérification du marqueur d'infection (MBR déjà infecté) | requis | | | | | | | Nom du fichier depuis lequel s'exécute le code placé dans le dossier C:\\Windows\\. Il est souvent observé le fichier C:\\Windows\\perfc | | Infection du MBR | requis | | | requis | | Si Absent | | | | Ecrasement des dix premiers secteurs du disque dur | requis | | | | | Si Présent | | Seulement dans le cas ou l'infection du MBR échoue | | Planififation du redémarrage | | | | | | | | Réussite selon le retour de la commande, qui elle-même dépend de la version de Windows | | Reconnaissance réseau | | | | | | | | | | Exécution du dérobeur de mot de passe de type Mimikatz déposé dans le répertoire %TEMP% | requis | | | | | | | | | Extraction de PsExec dans le répertoire %WINDIR% | Un des deux | Un des deux | | | | | | | | Extraction de PsExec dans le répertoire %APPDATA% | Absent | Absent | | | | | | | | Création d'un fil d'exécution d'envoi de commandes WMIC | | | | | | | | | | Élévation locale de privilèges (technique identique que le mouvement latéral) | Si absent et sous conditions | | | | | | | Si le système d'exploitation est parmi : Windows versions 5.1, 5.2 -Windows XP et Windows Server 2003-, 6.0 (Vista, Windows Server 2008), ou 6.1 (Windows 7, Windows Server 2008 R2) | | Exploitation des vulnérabilités EternalRomance/EternalBlue | | | | | | | Si absent | | | Chiffrement des fichiers sur le disque local | | | | | | | | | | Ecran bleu \`\`de la mort'' / Redémarrage forcé | | | requis | | | | | | | Effacement des événements windows (wevutil) et journal USN (fsutil) | Si présent ou sous conditions | | | | | | | Si le système est de type Windows 8 et postérieures ou si l'élévation locale de privilèges a réussie; Réussite de la commande selon le retour du processus lancé |Solution
Recommandations
Pour empêcher la propagation du maliciel, même en cas d'infection initiale, le CERT-FR recommande d'effectuer les actions suivantes :
- Mettre le processus lsass.exe en PPL (protected process light) sur l'ensemble des postes de travail, des serveurs membres et des contrôleurs de domaine, mesure déployable par GPO via un modèle d'administration récupérable sur le site Web de Microsoft. Cette action rend plus difficile la récupération des empreintes en mémoire et n'est réellement efficace que depuis Windows 8.1 et 2012 R2 ;
- Activer credential guard sur l'ensemble des postes de travail et des serveurs membres, ce qui rend impossible la récupération des empreintes en mémoire, sur Windows 10 et 2016 ;
- Mettre les utilisateurs les plus privilégiés de l'AD dans le groupe protected users ce qui nécessite une extension de schéma AD en 2012 R2. Cette mesure empêche le stockage des empreintes des mots de passe en mémoire, y compris sur les postes Windows 7 s'ils sont à jour (ayant notamment le correctif KB2871997 appliqué) ;
- Ajouter le SID des utilisateurs locaux (S-1-5-114) dans le droit d'authentification interdire l'accès à cet ordinateur par le réseau. Cette mesure peut être déployée par GPO et empêche la réutilisation des mots de passe identiques des comptes locaux ;
- Activer le contrôle de comptes utilisateur (UAC) pour le compte administrateur intégré (par GPO) sur les serveurs et les postes de travail ;
- S'assurer que les utilisateurs n'aient pas de privilèges sur les postes de travail ou activer le contrôle de comptes utilisateur (UAC) en mode Demande de consentement sur le bureau sécurisé.
De manière plus générale, le CERT-FR recommande :
- l'application immédiate des mises à jour de sécurité notamment la mise à jour de sécurité Microsoft MS17-010 (cf. section Documentation) ;
- le respect des recommandations génériques relatives aux rançongiciels : http://www.cert.ssi.gouv.fr/site/CERTFR-2017-INF-001/index.html ;
- de limiter l'exposition du service SMB, en particulier sur internet ;
- respecter le principe de moindre privilège pour les utilisateurs, afin de limiter l'élévation de privilèges et la propagation latérale de l'attaquant ;
- de ne pas payer la rançon.
Prévention
De manière préventive, s'il n'est pas possible de mettre à jour une machine, il est recommandé de l'isoler logiquement, voire de l'éteindre le temps d'appliquer les mesures adaptées de protection.
La désactivation du protocole SMBv1 peut être un plus mais ne saurait remplacer l'installation des correctifs.
Détection
Les règles Yara suivantes sont fournies afin de permettre la détection d'un logiciel malveillant relatif à la campagne en cours.
rule MS17_010_RANSOMWARE_perfc_xor_strings {
meta:
author = "ANSSI"
version = "1.0"
description = "Rule to detect MS17_010 ransomware"
strings:
// PC NETWORK PROGRAM 1.0 xor 0x72
\$a = {70 22 31 52 3C 37 26 25 3D 20 39 52 22 20 3D 35 20 33 3F 52 43 5C
42
72 70 3E 33 3C 3F 33 3C 43 5C 42 72 70 25 1B 1C 16 1D 05 01 52 14}
// \\123.12.31.2\IPC\$ xor 0x75
\$b = {75 29 75 29 75 44 75 47 75 46 75 5B 75 44 75 47 75 5B 75 46 75 44
75
5B 75 47 75 29 75 3C 75 25 75 36 75 51 75 75 75 4A 4A 4A 4A 4A 75}
// payload1 shellcode entrypoint xor 0x64
\$c = {2C ED 84 02 E7 80 94 25 33 25 32 25 31 25 30 37 35 36 31 33 32 34
34
8C D8 62 64 64 2C ED}
condition:
1 of them
}
rule MS17_010_RANSOMWARE_Kaspersky_PetrWrap {
meta:
copyright = "Kaspersky Lab"
description = "Rule to detect PetrWrap ransomware samples"
last_modified = "2017-06-27"
author = "Kaspersky Lab"
hash = "71B6A493388E7D0B40C83CE903BC6B04"
version = "1.0"
strings:
\$a1 =
"MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXE
jfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2Dt
X4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITD
bDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu" fullword
wide
\$a2 =
".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk.
djvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf.
php.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc.
vmdk.vmsd.vmx.vsdx.vsv.work.xls" fullword wide
\$a3 = "DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS
PLUGGED"
fullword ascii
\$a4 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" fullword ascii
\$a5 = "wowsmith123456@posteo.net." fullword wide
condition:
uint16(0) == 0x5A4D and
filesize \< 1000000 and any of them
}
rule MS17_010_RANSOMWARE_FireEye_perfc_clear_strings {
meta:version="1.1"
//filetype="PE"
author="Ian.Ahl@fireeye.com @TekDefense, Nicholas.Carr@mandiant.com
@ItsReallyNick"
date="2017-06-27"
description="Probable PETYA ransomware using ETERNALBLUE, WMIC, PsExec"
strings:
// DRIVE USAGE
$dmap01 = "\\\\.\\PhysicalDrive" nocase ascii wide
$dmap02 = "\\\\.\\PhysicalDrive0" nocase ascii wide
$dmap03 = "\\\\.\\C:" nocase ascii wide
$dmap04 = "TERMSRV" nocase ascii wide
$dmap05 = "\\admin$" nocase ascii wide
$dmap06 = "GetLogicalDrives" nocase ascii wide
$dmap07 = "GetDriveTypeW" nocase ascii wide
// RANSOMNOTE
\$msg01 = "WARNING: DO NOT TURN OFF YOUR PC!" nocase ascii wide
\$msg02 = "IF YOU ABORT THIS PROCESS" nocase ascii wide
\$msg03 = "DESTROY ALL OF YOUR DATA!" nocase ascii wide
\$msg04 = "PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED" nocase ascii
wide
\$msg05 = "your important files are encrypted" ascii wide
\$msg06 = "Your personal installation key" nocase ascii wide
\$msg07 = "worth of Bitcoin to following address" nocase ascii wide
\$msg08 = "CHKDSK is repairing sector" nocase ascii wide
\$msg09 = "Repairing file system on " nocase ascii wide
\$msg10 = "Bitcoin wallet ID" nocase ascii wide
\$msg11 = "wowsmith123456@posteo.net" nocase ascii wide
\$msg12 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" nocase ascii wide
\$msg_pcre = /(en\|de)crypt(ion\|ed\.)/
// FUNCTIONALITY, APIS
\$functions01 = "need dictionary" nocase ascii wide
\$functions02 = "comspec" nocase ascii wide
\$functions03 = "OpenProcessToken" nocase ascii wide
\$functions04 = "CloseHandle" nocase ascii wide
\$functions05 = "EnterCriticalSection" nocase ascii wide
\$functions06 = "ExitProcess" nocase ascii wide
\$functions07 = "GetCurrentProcess" nocase ascii wide
\$functions08 = "GetProcAddress" nocase ascii wide
\$functions09 = "LeaveCriticalSection" nocase ascii wide
\$functions10 = "MultiByteToWideChar" nocase ascii wide
\$functions11 = "WideCharToMultiByte" nocase ascii wide
\$functions12 = "WriteFile" nocase ascii wide
\$functions13 = "CoTaskMemFree" nocase ascii wide
\$functions14 = "NamedPipe" nocase ascii wide
\$functions15 = "Sleep" nocase ascii wide // imported, not in strings
// COMMANDS
// -- Clearing event logs & USNJrnl
\$cmd01 = "wevtutil cl Setup" ascii wide nocase
\$cmd02 = "wevtutil cl System" ascii wide nocase
\$cmd03 = "wevtutil cl Security" ascii wide nocase
\$cmd04 = "wevtutil cl Application" ascii wide nocase
\$cmd05 = "fsutil usn deletejournal" ascii wide nocase
// -- Scheduled task
\$cmd06 = "schtasks " nocase ascii wide
\$cmd07 = "/Create /SC " nocase ascii wide
\$cmd08 = " /TN " nocase ascii wide
\$cmd09 = "at %02d:%02d %ws" nocase ascii wide
\$cmd10 = "shutdown.exe /r /f" nocase ascii wide
// -- Sysinternals/PsExec and WMIC
\$cmd11 = "-accepteula -s" nocase ascii wide
\$cmd12 = "wmic"
\$cmd13 = "/node:" nocase ascii wide
\$cmd14 = "process call create" nocase ascii wide
condition:
(uint16(0) == 0x5A4D)
and 3 of (\$dmap*)
and 2 of (\$msg*)
and 9 of (\$functions*)
and 7 of (\$cmd*)
}
Marqueurs
Les éléments suivants sont identifiés en source ouverte comme étant de possibles marqueurs de compromission.
71b6a493388e7d0b40c83ce903bc6b04
0df7179693755b810403a972f4466afb
42b2ff216d14c2c8387c8eabfb1ab7d0
e285b6ce047015943e685e6638bd837e
e595c02185d8e12be347915865270cca
3b7331b99da80dcb5a0f5c14d384b49c
3d451bcaa800833115abf90c0954ac3b
710bd936a07bd3b146bdb170c317438c
8a241cfcc23dc740e1fadc7f2df3965e
9ed3bdaeb95e1084db73f39414b4f2b9
a92f13f3a1b3b39833d3cc336301b713
af2379cc4d607a45ac44d62135fb7015
b968c302c6fd56bbf7da3cc72bb31fa6
d0a0e16f1f85db5dfac6969562923576
e068ee33b5e9cb317c1af7cecc1bacb5
f11998e3849632b67a45a7186523f682
0487382a4daf8eb9660f1c67e30f8b25
415fe69bf32634ca98fa07633f4118e1
L'ANSSI confirme que les empreintes md5 suivantes sont liées à la campagne en cours :
71b6a493388e7d0b40c83ce903bc6b04
0df7179693755b810403a972f4466afb
42b2ff216d14c2c8387c8eabfb1ab7d0
e285b6ce047015943e685e6638bd837e
Le domaine et l'adresse IP suivante sont associés au serveur de mise à jour du logiciel MeDoc identifié comme ayant distribué une version du maliciel.
upd.me-doc.com.ua
92.60.184.55
Mesures réactives
Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises, sans toutefois les éteindre. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt.
Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.
Comme le maliciel récupère les mots de passe, il est donc nécessaire de changer les mots de passe des sauvegardes avant de les restaurer. Si cela n'est pas possible, on peut aussi changer le mot de passe après la réinstallation, mais impérativement avant de rebrancher la machine sur le réseau.
Toutes les versions de Windows semblent pouvoir être affectées dans la mesure où des outils d'administration classiques sont utilisés pour la latéralisation. Les serveurs ainsi que les postes de travail font donc partie du périmètre d'infection possible.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eToutes les versions de Windows semblent pouvoir \u00eatre affect\u00e9es dans la mesure o\u00f9 des outils d\u0027administration classiques sont utilis\u00e9s pour la lat\u00e9ralisation. Les serveurs ainsi que les postes de travail font donc partie du p\u00e9rim\u00e8tre d\u0027infection possible.\u003c/p\u003e ",
"closed_at": "2017-08-03",
"content": "## Vecteurs du0027infection\n\nL\u0027ANSSI ne dispose pas \u00e0 cette heure de preuves relatives au vecteur\ninitial d\u0027infection. \nL\u0027usage envisag\u00e9 de la vuln\u00e9rabilit\u00e9 CVE-2017-0199 semble d\u00e9sormais\nexclu. Microsoft indique que le logiciel de paiement de taxe MEDoc\npourrait \u00eatre l\u0027un des vecteurs initiaux d\u0027infection via une mise \u00e0 jour\nautomatique.\n\nLorsque le maliciel s\u0027ex\u00e9cute, celui-ci commence par s\u0027attribuer autant\nde droits que son niveau de privil\u00e8ges lui permet. Il v\u00e9rifie ensuite si\ncertains logiciels anti-virus sont pr\u00e9sents. S\u0027il poss\u00e8de le privil\u00e8ge\nSeDebugPrivilege, il cherche la pr\u00e9sence d\u0027un fichier avant de continuer\nson ex\u00e9cution. Dans ce cas, celui-ci fait office de ce que l\u0027on appelle\ncommun\u00e9ment un killswitch. Le nom de ce fichier est d\u00e9termin\u00e9 \u00e0 partir\ndu nom de l\u0027ex\u00e9cutable malveillant pour lequel l\u0027extension a \u00e9t\u00e9\nretir\u00e9e. Sur les souches identifi\u00e9es actuellement, le nom constat\u00e9 du\nbinaire est C:\\\\Windows\\\\perfc.dat. Par cons\u00e9quent le fichier v\u00e9rifi\u00e9\navant ex\u00e9cution est C:\\\\Windows\\\\perfc. Sur ces souches, la pr\u00e9sence de\nce fichier arr\u00eatera l\u0027ex\u00e9cution du maliciel avant toute action\ndestructrice.\n\nSi ce fichier n\u0027est pas pr\u00e9sent, le maliciel va alors modifier le Master\nBoot Record (MBR) afin d\u0027effectuer des actions destructrices au prochain\nd\u00e9marrage de la machine. S\u0027il rencontre une erreur lors de cette\nop\u00e9ration, alors les dix premiers secteurs du disques seront r\u00e9\u00e9crits\navec des z\u00e9ros pour emp\u00eacher la machine de d\u00e9marrer. Ceci est par\nexemple le cas si le disque a une table de partition GPT (GUID Partition\nTable) au lieu de MBR. L\u0027effet g\u00e9n\u00e9ralement constat\u00e9 est un \u00e9cran noir \u00e0\nla place du message de ran\u00e7on. Dans ce cas, le syst\u00e8me est r\u00e9cup\u00e9rable \u00e0\ncondition de reconstruire la table de partition.\n\nEnsuite, il tente de cr\u00e9er une t\u00e2che planifi\u00e9e r\u00e9alisant un red\u00e9marrage\nde la machine.\n\nLe maliciel va alors commencer \u00e0 \u00e9num\u00e9rer les \u00e9quipements pr\u00e9sents sur\nle r\u00e9seau interne afin de se propager.\n\nDes droits \u00e9lev\u00e9s permettent au maliciel de voler les mots de passe\nlocaux soit en utilisant un outil de type Mimikatz en version 32 ou 64\nbits, et en faisant appel \u00e0 l\u0027API CredEnumerateW. Le logiciel\nmalveillant dispose de plusieurs capacit\u00e9s pour se propager sur le\nr\u00e9seau :\n\n- en utilisant les identifiants r\u00e9cup\u00e9r\u00e9s sur la machine ainsi que\n l\u0027outil l\u00e9gitime d\u0027administration PSExec et du protocole WMI\u00a0;\n- en exploitant des vuln\u00e9rabilit\u00e9s du protocole SMB (identifi\u00e9es dans\n le bulletin MS17-010).\n\nApr\u00e8s avoir tent\u00e9 de se propager, le maliciel chiffre les fichiers\nlocaux de l\u0027utilisateur en les ciblant en fonction de leur extension.\nCette \u00e9tape est assez longue et d\u00e9pend du volume de donn\u00e9es pr\u00e9sentes\nsur le disque. Une fois le chiffrement termin\u00e9, le logiciel malveillant\ncherche \u00e0 red\u00e9marrer la machine. En fonction des versions de Windows,\ncela se fera soit par le d\u00e9clenchement de la t\u00e2che planifi\u00e9e, soit en\nprovoquant une erreur qui d\u00e9bouchera sur un \u00e9cran bleu dit \"de la mort\".\n\nSelon le r\u00e9sultat des actions pr\u00e9c\u00e9dentes, la machine :\n\n- red\u00e9marrera normalement mais les fichiers seront inaccessibles\u00a0;\n- ne red\u00e9marrera pas\u00a0;\n- red\u00e9marrera avec un message affich\u00e9 indiquant qu\u0027une v\u00e9rification de\n l\u0027int\u00e9grit\u00e9 des disques est en cours.\n\nDans ce dernier cas, le maliciel chiffre la MFT (Master File Table). Il\ns\u0027agit d\u0027un index des fichiers et r\u00e9pertoires pr\u00e9sents sur le disque.\nCela a pour cons\u00e9quence de rendre inaccessibles les fichiers pr\u00e9sents\nsur la machine. Enfin, le maliciel s\u0027installe \u00e0 la place du secteur de\nd\u00e9marrage de Windows afin d\u0027afficher le message de ran\u00e7on. La cl\u00e9\nutilis\u00e9e pour chiffrer la MFT \u00e9tant d\u00e9truite dans le processus, il est\nimpossible d\u0027obtenir son d\u00e9chiffrement m\u00eame en \u00e9change du paiement de la\nran\u00e7on.\n\n## R\u00e9sum\u00e9 des actions du maliciel\n\nLes diff\u00e9rentes actions entreprisent par le maliciel sont conditionn\u00e9s\npar plusieurs v\u00e9rifications au cours de son \u00e9xecution. Le tableau\nci-apr\u00e8s synth\u00e9tise les \u00e9v\u00e9nements en fonction du contexte d\u0027\u00e9xecution\ndu logiciel malveillant, notamment les privil\u00e8ges dont dispose le\nprocessus, le type de secteur d\u0027amor\u00e7age ou la pr\u00e9sence de logiciel\nantivirus.\n\n\u00a0\n\n\u003cdiv markdown=\"1\" align=\"center\"\u003e\n\n**Tableau 2:** R\u00e9sum\u00e9 des actions du maliciel suivant ses privil\u00e8ges, le\ntype de secteur d\u0027amor\u00e7age, ou la pr\u00e9sence de logiciel antivirus\n\n| | | | | | | | | |\n|:-------------------------------------------------------------------------------------------------------------------|:---------------------------------------------------------|:--------------------------------------:|:-----------------------------------------:|:----------------------------------:|:----------------------------------:|:----------------------------------------:|:----------------------------------------------:|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|\n| \u003cspan class=\"small\"\u003e**Action**\u003c/span\u003e | \u003cspan class=\"small\"\u003e**SeDebug**\u003c/span\u003e | \u003cspan class=\"small\"\u003e**SeTcb**\u003c/span\u003e | \u003cspan class=\"small\"\u003e**SeShutdown**\u003c/span\u003e | \u003cspan class=\"small\"\u003e**MBR**\u003c/span\u003e | \u003cspan class=\"small\"\u003e**GPT**\u003c/span\u003e | \u003cspan class=\"small\"\u003e**Kaspersky**\u003c/span\u003e | \u003cspan class=\"small\"\u003e**Symantec/Norton**\u003c/span\u003e | \u003cspan class=\"small\"\u003e**Commentaires**\u003c/span\u003e |\n| \u003cspan class=\"small\"\u003eV\u00e9rification du marqueur d\u0027infection (MBR d\u00e9j\u00e0 infect\u00e9)\u003c/span\u003e | \u003cspan class=\"small\"\u003erequis\u003c/span\u003e | | | | | | | \u003cspan class=\"small\"\u003eNom du fichier depuis lequel s\u0027ex\u00e9cute le code plac\u00e9 dans le dossier C:\\\\Windows\\\\. Il est souvent observ\u00e9 le fichier C:\\\\Windows\\\\perfc\u003c/span\u003e |\n| \u003cspan class=\"small\"\u003eInfection du MBR\u003c/span\u003e | \u003cspan class=\"small\"\u003erequis\u003c/span\u003e | | | \u003cspan class=\"small\"\u003erequis\u003c/span\u003e | | \u003cspan class=\"small\"\u003eSi Absent\u003c/span\u003e | | |\n| \u003cspan class=\"small\"\u003eEcrasement des dix premiers secteurs du disque dur\u003c/span\u003e | \u003cspan class=\"small\"\u003erequis\u003c/span\u003e | | | | | \u003cspan class=\"small\"\u003eSi Pr\u00e9sent\u003c/span\u003e | | \u003cspan class=\"small\"\u003eSeulement dans le cas ou l\u0027infection du MBR \u00e9choue\u003c/span\u003e |\n| \u003cspan class=\"small\"\u003ePlanififation du red\u00e9marrage\u003c/span\u003e | | | | | | | | \u003cspan class=\"small\"\u003eR\u00e9ussite selon le retour de la commande, qui elle-m\u00eame d\u00e9pend de la version de Windows\u003c/span\u003e |\n| \u003cspan class=\"small\"\u003eReconnaissance r\u00e9seau\u003c/span\u003e | | | | | | | | |\n| \u003cspan class=\"small\"\u003eEx\u00e9cution du d\u00e9robeur de mot de passe de type Mimikatz d\u00e9pos\u00e9 dans le r\u00e9pertoire %TEMP%\u003c/span\u003e | \u003cspan class=\"small\"\u003erequis\u003c/span\u003e | | | | | | | |\n| \u003cspan class=\"small\"\u003eExtraction de PsExec dans le r\u00e9pertoire %WINDIR%\u003c/span\u003e | \u003cspan class=\"small\"\u003eUn des deux\u003c/span\u003e | \u003cspan class=\"small\"\u003eUn des deux\u003c/span\u003e | | | | | | |\n| \u003cspan class=\"small\"\u003eExtraction de PsExec dans le r\u00e9pertoire %APPDATA%\u003c/span\u003e | \u003cspan class=\"small\"\u003eAbsent\u003c/span\u003e | \u003cspan class=\"small\"\u003eAbsent\u003c/span\u003e | | | | | | |\n| \u003cspan class=\"small\"\u003eCr\u00e9ation d\u0027un fil d\u0027ex\u00e9cution d\u0027envoi de commandes WMIC\u003c/span\u003e | | | | | | | | |\n| \u003cspan class=\"small\"\u003e\u00c9l\u00e9vation locale de privil\u00e8ges (technique identique que le mouvement lat\u00e9ral)\u003c/span\u003e | \u003cspan class=\"small\"\u003eSi absent et sous conditions\u003c/span\u003e | | | | | | | \u003cspan class=\"small\"\u003eSi le syst\u00e8me d\u0027exploitation est parmi : Windows versions 5.1, 5.2 -Windows XP et Windows Server 2003-, 6.0 (Vista, Windows Server 2008), ou 6.1 (Windows 7, Windows Server 2008 R2)\u003c/span\u003e |\n| \u003cspan class=\"small\"\u003eExploitation des vuln\u00e9rabilit\u00e9s EternalRomance/EternalBlue\u003c/span\u003e | | | | | | | \u003cspan class=\"small\"\u003eSi absent\u003c/span\u003e | |\n| \u003cspan class=\"small\"\u003eChiffrement des fichiers sur le disque local\u003c/span\u003e | | | | | | | | |\n| \u003cspan class=\"small\"\u003eEcran bleu \\`\\`de la mort\u0027\u0027 / Red\u00e9marrage forc\u00e9\u003c/span\u003e | | | \u003cspan class=\"small\"\u003erequis\u003c/span\u003e | | | | | |\n| \u003cspan class=\"small\"\u003eEffacement des \u00e9v\u00e9nements windows (wevutil) et journal USN (fsutil)\u003c/span\u003e | \u003cspan class=\"small\"\u003eSi pr\u00e9sent ou sous conditions\u003c/span\u003e | | | | | | | \u003cspan class=\"small\"\u003eSi le syst\u00e8me est de type Windows 8 et post\u00e9rieures ou si l\u0027\u00e9l\u00e9vation locale de privil\u00e8ges a r\u00e9ussie; R\u00e9ussite de la commande selon le retour du processus lanc\u00e9\u003c/span\u003e |\n\n\u003c/div\u003e\n\n\u00a0\n\n## Solution\n\n## Recommandations\n\nPour emp\u00eacher la propagation du maliciel, m\u00eame en cas d\u0027infection\ninitiale, le CERT-FR recommande d\u0027effectuer les actions suivantes :\n\n- Mettre le processus lsass.exe en PPL (protected process light) sur\n l\u0027ensemble des postes de travail, des serveurs membres et des\n contr\u00f4leurs de domaine, mesure d\u00e9ployable par GPO via un mod\u00e8le\n d\u0027administration r\u00e9cup\u00e9rable sur le site Web de Microsoft. Cette\n action rend plus difficile la r\u00e9cup\u00e9ration des empreintes en m\u00e9moire\n et n\u0027est r\u00e9ellement efficace que depuis Windows 8.1 et 2012 R2 ;\n- Activer credential guard sur l\u0027ensemble des postes de travail et des\n serveurs membres, ce qui rend impossible la r\u00e9cup\u00e9ration des\n empreintes en m\u00e9moire, sur Windows 10 et 2016 ;\n- Mettre les utilisateurs les plus privil\u00e9gi\u00e9s de l\u0027AD dans le groupe\n protected users ce qui n\u00e9cessite une extension de sch\u00e9ma AD en 2012\n R2. Cette mesure emp\u00eache le stockage des empreintes des mots de\n passe en m\u00e9moire, y compris sur les postes Windows 7 s\u0027ils sont \u00e0\n jour (ayant notamment le correctif KB2871997 appliqu\u00e9) ;\n- Ajouter le SID des utilisateurs locaux (S-1-5-114) dans le droit\n d\u0027authentification interdire l\u0027acc\u00e8s \u00e0 cet ordinateur par le r\u00e9seau.\n Cette mesure peut \u00eatre d\u00e9ploy\u00e9e par GPO et emp\u00eache la r\u00e9utilisation\n des mots de passe identiques des comptes locaux ;\n- Activer le contr\u00f4le de comptes utilisateur (UAC) pour le compte\n administrateur int\u00e9gr\u00e9 (par GPO) sur les serveurs et les postes de\n travail ;\n- S\u0027assurer que les utilisateurs n\u0027aient pas de privil\u00e8ges sur les\n postes de travail ou activer le contr\u00f4le de comptes utilisateur\n (UAC) en mode Demande de consentement sur le bureau s\u00e9curis\u00e9.\n\nDe mani\u00e8re plus g\u00e9n\u00e9rale, le CERT-FR recommande :\n\n- l\u0027application imm\u00e9diate des mises \u00e0 jour de s\u00e9curit\u00e9 notamment la\n mise \u00e0 jour de s\u00e9curit\u00e9 Microsoft MS17-010 (cf. section\n Documentation) ;\n- le respect des recommandations g\u00e9n\u00e9riques relatives aux\n ran\u00e7ongiciels :\n \u003chttp://www.cert.ssi.gouv.fr/site/CERTFR-2017-INF-001/index.html\u003e ;\n- de limiter l\u0027exposition du service SMB, en particulier sur internet\n ;\n- respecter le principe de moindre privil\u00e8ge pour les utilisateurs,\n afin de limiter l\u0027\u00e9l\u00e9vation de privil\u00e8ges et la propagation lat\u00e9rale\n de l\u0027attaquant ;\n- de ne pas payer la ran\u00e7on.\n\n## Pr\u00e9vention\n\nDe mani\u00e8re pr\u00e9ventive, s\u0027il n\u0027est pas possible de mettre \u00e0 jour une\nmachine, il est recommand\u00e9 de l\u0027isoler logiquement, voire de l\u0027\u00e9teindre\nle temps d\u0027appliquer les mesures adapt\u00e9es de protection.\n\nLa d\u00e9sactivation du protocole SMBv1 peut \u00eatre un plus mais ne saurait\nremplacer l\u0027installation des correctifs.\n\n## D\u00e9tection\n\nLes r\u00e8gles Yara suivantes sont fournies afin de permettre la d\u00e9tection\nd\u0027un logiciel malveillant relatif \u00e0 la campagne en cours.\n\n rule MS17_010_RANSOMWARE_perfc_xor_strings {\n\nmeta: \nauthor = \"ANSSI\" \nversion = \"1.0\" \ndescription = \"Rule to detect MS17_010 ransomware\"\n\nstrings: \n// PC NETWORK PROGRAM 1.0 xor 0x72 \n\\$a = {70 22 31 52 3C 37 26 25 3D 20 39 52 22 20 3D 35 20 33 3F 52 43 5C\n42 \n72 70 3E 33 3C 3F 33 3C 43 5C 42 72 70 25 1B 1C 16 1D 05 01 52 14}\n\n// \\\\\\\\123.12.31.2\\\\IPC\\$ xor 0x75 \n\\$b = {75 29 75 29 75 44 75 47 75 46 75 5B 75 44 75 47 75 5B 75 46 75 44\n75 \n5B 75 47 75 29 75 3C 75 25 75 36 75 51 75 75 75 4A 4A 4A 4A 4A 75}\n\n// payload1 shellcode entrypoint xor 0x64 \n\\$c = {2C ED 84 02 E7 80 94 25 33 25 32 25 31 25 30 37 35 36 31 33 32 34\n34 \n8C D8 62 64 64 2C ED}\n\ncondition: \n1 of them \n}\n\n rule MS17_010_RANSOMWARE_Kaspersky_PetrWrap {\n meta:\n copyright = \"Kaspersky Lab\"\n description = \"Rule to detect PetrWrap ransomware samples\"\n last_modified = \"2017-06-27\"\n author = \"Kaspersky Lab\"\n hash = \"71B6A493388E7D0B40C83CE903BC6B04\"\n version = \"1.0\"\n\nstrings: \n\\$a1 =\n\"MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6WpXWnKSNQAYT0O65Cr8PjIQInTeHkXE \njfO2n2JmURWV/uHB0ZrlQ/wcYJBwLhQ9EqJ3iDqmN19Oo7NtyEUmbYmopcq+YLIBZzQ2ZTK0A2Dt \nX4GRKxEEFLCy7vP12EYOPXknVy/+mf0JFWixz29QiTf5oLu15wVLONCuEibGaNNpgq+CXsPwfITD \nbDDmdrRIiUEUw6o3pt5pNOskfOJbMan2TZu\" fullword \nwide \n\\$a2 =\n\".3ds.7z.accdb.ai.asp.aspx.avhd.back.bak.c.cfg.conf.cpp.cs.ctl.dbf.disk. \ndjvu.doc.docx.dwg.eml.fdb.gz.h.hdd.kdbx.mail.mdb.msg.nrg.ora.ost.ova.ovf.pdf. \nphp.pmf.ppt.pptx.pst.pvi.py.pyc.rar.rtf.sln.sql.tar.vbox.vbs.vcb.vdi.vfd.vmc. \nvmdk.vmsd.vmx.vsdx.vsv.work.xls\" fullword wide \n\\$a3 = \"DESTROY ALL OF YOUR DATA! PLEASE ENSURE THAT YOUR POWER CABLE IS\nPLUGGED\" \nfullword ascii \n\\$a4 = \"1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX\" fullword ascii \n\\$a5 = \"wowsmith123456@posteo.net.\" fullword wide\n\ncondition: \nuint16(0) == 0x5A4D and \nfilesize \\\u003c 1000000 and any of them \n}\n\n rule MS17_010_RANSOMWARE_FireEye_perfc_clear_strings {\n meta:version=\"1.1\"\n //filetype=\"PE\"\n author=\"Ian.Ahl@fireeye.com @TekDefense, Nicholas.Carr@mandiant.com\n @ItsReallyNick\"\n date=\"2017-06-27\"\n description=\"Probable PETYA ransomware using ETERNALBLUE, WMIC, PsExec\"\n strings:\n // DRIVE USAGE\n $dmap01 = \"\\\\\\\\.\\\\PhysicalDrive\" nocase ascii wide\n $dmap02 = \"\\\\\\\\.\\\\PhysicalDrive0\" nocase ascii wide\n $dmap03 = \"\\\\\\\\.\\\\C:\" nocase ascii wide\n $dmap04 = \"TERMSRV\" nocase ascii wide\n $dmap05 = \"\\\\admin$\" nocase ascii wide\n $dmap06 = \"GetLogicalDrives\" nocase ascii wide\n $dmap07 = \"GetDriveTypeW\" nocase ascii wide\n\n// RANSOMNOTE \n\\$msg01 = \"WARNING: DO NOT TURN OFF YOUR PC!\" nocase ascii wide \n\\$msg02 = \"IF YOU ABORT THIS PROCESS\" nocase ascii wide \n\\$msg03 = \"DESTROY ALL OF YOUR DATA!\" nocase ascii wide \n\\$msg04 = \"PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED\" nocase ascii\nwide \n\\$msg05 = \"your important files are encrypted\" ascii wide \n\\$msg06 = \"Your personal installation key\" nocase ascii wide \n\\$msg07 = \"worth of Bitcoin to following address\" nocase ascii wide \n\\$msg08 = \"CHKDSK is repairing sector\" nocase ascii wide \n\\$msg09 = \"Repairing file system on \" nocase ascii wide \n\\$msg10 = \"Bitcoin wallet ID\" nocase ascii wide \n\\$msg11 = \"wowsmith123456@posteo.net\" nocase ascii wide \n\\$msg12 = \"1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX\" nocase ascii wide \n\\$msg_pcre = /(en\\|de)crypt(ion\\|ed\\\\.)/\n\n// FUNCTIONALITY, APIS \n\\$functions01 = \"need dictionary\" nocase ascii wide \n\\$functions02 = \"comspec\" nocase ascii wide \n\\$functions03 = \"OpenProcessToken\" nocase ascii wide \n\\$functions04 = \"CloseHandle\" nocase ascii wide \n\\$functions05 = \"EnterCriticalSection\" nocase ascii wide \n\\$functions06 = \"ExitProcess\" nocase ascii wide \n\\$functions07 = \"GetCurrentProcess\" nocase ascii wide \n\\$functions08 = \"GetProcAddress\" nocase ascii wide \n\\$functions09 = \"LeaveCriticalSection\" nocase ascii wide \n\\$functions10 = \"MultiByteToWideChar\" nocase ascii wide \n\\$functions11 = \"WideCharToMultiByte\" nocase ascii wide \n\\$functions12 = \"WriteFile\" nocase ascii wide \n\\$functions13 = \"CoTaskMemFree\" nocase ascii wide \n\\$functions14 = \"NamedPipe\" nocase ascii wide \n\\$functions15 = \"Sleep\" nocase ascii wide // imported, not in strings\n\n// COMMANDS \n// -- Clearing event logs \u0026 USNJrnl \n\\$cmd01 = \"wevtutil cl Setup\" ascii wide nocase \n\\$cmd02 = \"wevtutil cl System\" ascii wide nocase \n\\$cmd03 = \"wevtutil cl Security\" ascii wide nocase \n\\$cmd04 = \"wevtutil cl Application\" ascii wide nocase \n\\$cmd05 = \"fsutil usn deletejournal\" ascii wide nocase \n// -- Scheduled task \n\\$cmd06 = \"schtasks \" nocase ascii wide \n\\$cmd07 = \"/Create /SC \" nocase ascii wide \n\\$cmd08 = \" /TN \" nocase ascii wide \n\\$cmd09 = \"at %02d:%02d %ws\" nocase ascii wide \n\\$cmd10 = \"shutdown.exe /r /f\" nocase ascii wide \n// -- Sysinternals/PsExec and WMIC \n\\$cmd11 = \"-accepteula -s\" nocase ascii wide \n\\$cmd12 = \"wmic\" \n\\$cmd13 = \"/node:\" nocase ascii wide \n\\$cmd14 = \"process call create\" nocase ascii wide\n\ncondition: \n(uint16(0) == 0x5A4D) \nand 3 of (\\$dmap\\*) \nand 2 of (\\$msg\\*) \nand 9 of (\\$functions\\*) \nand 7 of (\\$cmd\\*) \n}\n\n## Marqueurs\n\nLes \u00e9l\u00e9ments suivants sont identifi\u00e9s en source ouverte comme \u00e9tant de\npossibles marqueurs de compromission.\n\n 71b6a493388e7d0b40c83ce903bc6b04\n 0df7179693755b810403a972f4466afb\n 42b2ff216d14c2c8387c8eabfb1ab7d0\n e285b6ce047015943e685e6638bd837e\n e595c02185d8e12be347915865270cca\n 3b7331b99da80dcb5a0f5c14d384b49c\n 3d451bcaa800833115abf90c0954ac3b\n 710bd936a07bd3b146bdb170c317438c\n 8a241cfcc23dc740e1fadc7f2df3965e\n 9ed3bdaeb95e1084db73f39414b4f2b9\n a92f13f3a1b3b39833d3cc336301b713\n af2379cc4d607a45ac44d62135fb7015\n b968c302c6fd56bbf7da3cc72bb31fa6\n d0a0e16f1f85db5dfac6969562923576\n e068ee33b5e9cb317c1af7cecc1bacb5\n f11998e3849632b67a45a7186523f682\n 0487382a4daf8eb9660f1c67e30f8b25\n 415fe69bf32634ca98fa07633f4118e1\n\nL\u0027ANSSI confirme que les empreintes md5 suivantes sont li\u00e9es \u00e0 la\ncampagne en cours\u00a0:\n\n 71b6a493388e7d0b40c83ce903bc6b04\n 0df7179693755b810403a972f4466afb\n 42b2ff216d14c2c8387c8eabfb1ab7d0\n e285b6ce047015943e685e6638bd837e\n\nLe domaine et l\u0027adresse IP suivante sont associ\u00e9s au serveur de mise \u00e0\njour du logiciel MeDoc identifi\u00e9 comme ayant distribu\u00e9 une version du\nmaliciel.\n\n upd.me-doc.com.ua\n 92.60.184.55\n\n## Mesures r\u00e9actives\n\nSi le code malveillant est d\u00e9couvert sur vos syst\u00e8mes, le CERT-FR\nrecommande de d\u00e9connecter imm\u00e9diatement du r\u00e9seau les machines\nidentifi\u00e9es comme compromises, sans toutefois les \u00e9teindre. L\u0027objectif\nest de bloquer la poursuite du chiffrement et la destruction des\ndocuments partag\u00e9s.\n\nLe CERT-FR recommande aussi d\u0027alerter le responsable s\u00e9curit\u00e9 ou le\nservice informatique au plus t\u00f4t.\n\nAussi, le CERT-FR recommande de prendre le temps de sauvegarder les\nfichiers importants sur des supports de donn\u00e9es isol\u00e9s. Ces fichiers\npeuvent \u00eatre alt\u00e9r\u00e9s ou encore \u00eatre infect\u00e9s. Il convient donc de les\ntraiter comme tels. De plus, les sauvegardes ant\u00e9rieures doivent \u00eatre\npr\u00e9serv\u00e9es d\u0027\u00e9crasement par des sauvegardes plus r\u00e9centes.\n\nComme le maliciel r\u00e9cup\u00e8re les mots de passe, il est donc n\u00e9cessaire de\nchanger les mots de passe des sauvegardes avant de les restaurer. Si\ncela n\u0027est pas possible, on peut aussi changer le mot de passe apr\u00e8s la\nr\u00e9installation, mais imp\u00e9rativement avant de rebrancher la machine sur\nle r\u00e9seau.\n",
"cves": [
{
"name": "CVE-2017-0199",
"url": "https://www.cve.org/CVERecord?id=CVE-2017-0199"
}
],
"initial_release_date": "2017-06-27T00:00:00",
"last_revision_date": "2017-08-03T00:00:00",
"links": [
{
"title": "disablesmb1",
"url": "https://aka.ms/disablesmb1"
},
{
"title": "CERTFR-2015-ACT-004",
"url": "http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-004/index.html"
},
{
"title": "new-ransomware-old-techniques-petya-adds-worm-capabilities",
"url": "https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/"
},
{
"title": "MS17-010",
"url": "https://technet.microsoft.com/fr-fr/library/security/MS17-010"
},
{
"title": "CERTFR-2017-ACT-019",
"url": "http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-019/index.html"
},
{
"title": "CERTFR-2017-ACT-016",
"url": "http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-016/index.html"
}
],
"reference": "CERTFR-2017-ALE-012",
"revisions": [
{
"description": "version initiale ;",
"revision_date": "2017-06-27T00:00:00.000000"
},
{
"description": "mise \u00e0 jour ;",
"revision_date": "2017-06-28T00:00:00.000000"
},
{
"description": "mise \u00e0 jour des informations sur le vecteur initial d\u0027infection, ajout de marqueurs, modification des \u00e9l\u00e9ments limitant la propagation ;",
"revision_date": "2017-06-28T00:00:00.000000"
},
{
"description": "mise \u00e0 jour, ajouts de recommandations ;",
"revision_date": "2017-06-28T00:00:00.000000"
},
{
"description": "mise \u00e0 jour, ajouts de la chronologie de l\u0027infection, retraits des marqueurs r\u00e9seau ;",
"revision_date": "2017-06-29T00:00:00.000000"
},
{
"description": "mise \u00e0 jour, modification des mesures r\u00e9actives, correction d\u0027erreurs, confirmation de la destruction de la cl\u00e9 servant \u00e0 chiffrer la MFT.",
"revision_date": "2017-06-29T00:00:00.000000"
},
{
"description": "mise \u00e0 jour, ajout d\u0027un tableau r\u00e9capitulant les actions du maliciel, ajout de marqueurs.",
"revision_date": "2017-06-30T00:00:00.000000"
},
{
"description": "modifications mineures.",
"revision_date": "2017-07-04T00:00:00.000000"
},
{
"description": "cl\u00f4ture de l\u0027alerte.",
"revision_date": "2017-07-07T00:00:00.000000"
},
{
"description": "correction du marqueur upd.me-doc.com.ua.",
"revision_date": "2017-08-03T00:00:00.000000"
}
],
"risks": [
{
"description": "Non sp\u00e9cifi\u00e9 par l\u0027\u00e9diteur"
}
],
"summary": "Le CERT-FR constate une recrudescence d\u0027activit\u00e9 de maliciel prenant\nl\u0027apparence d\u0027un ran\u00e7ongiciel poss\u00e9dant une forte capacit\u00e9 de\nr\u00e9plication. En particulier, plusieurs \u00e9chantillons poss\u00e8dent la\ncapacit\u00e9 de se propager en utilisant aussi bien des codes d\u0027exploitation\ndu protocole SMB que des identifiants l\u00e9gitimes vol\u00e9s sur la machine\ncompromise (\u00e0 l\u0027aide de PSExec et du protocole WMI).\n\nCette capacit\u00e9 de propagation multiple rend potentiellement vuln\u00e9rables\ncertains r\u00e9seaux qui, malgr\u00e9 l\u0027application de mises \u00e0 jour, ne\nrestreignent pas la lat\u00e9ralisation et l\u0027abus d\u0027identifiants.\n",
"title": "Campagne de maliciels prenant l\u0027apparence d\u0027un ran\u00e7ongiciel \u00e0 multiples capacit\u00e9s de propagation",
"vendor_advisories": []
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.