В Украине с начала войны распространяются вирусы Wiper, стирающие жесткий диск жертвы. Какие они бывают и как защититься

Немного истории

Появился этот вредитель в 2012 году и путь его, с использованием различных способов, был следующий:

• Shamoon, 2012. Напали на Saudi Aramco и катарские нефтяные компании RasGas.
• Dark Seoul, 2013. Напали на южнокорейские медиа и финансовые компании.
• Shamoon, 2016. Вернулся, чтобы снова атаковать организации Саудовской Аравии.
• NotPetya, 2017. Сначала нацелился на украинские организации, но благодаря способности к самораспространению стал наиболее разрушительным вредоносным программным обеспечением на сегодняшний день.
• Olympic Destroyer, 2018. Атака была направлена против зимних Олимпийских игр в Южной Корее.
• Ordinypt/GermanWiper, 2019. Нападение на немецкие организации с использованием фишинговых электронных писем на немецком языке.
• Dustman, 2019. Иранские государственные угрозы напали на Bapco, национальную нефтяную компанию Бахрейна.
• ZeroCleare, 2020. Нападение на энергетические компании на Ближнем Востоке.
• WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoupleZero 2022. Нападение на украинские организации параллельно с украинско-российской войной.
• AcidRain, 2022. Нападение на поставщика спутниковых услуг Viasat KA-SAT.

Для чего

Специалисты компании выделили четыре основных мотивации, которые, по их мнению, побуждали злоумышленников к использованию Wiper.

1. Финансовая выгода

С этой целью в первую очередь используют вирусы-шифровальщики,  вредоносные программы-вымогатели, которые шифруют данные, чтобы получить от потерпевшего выкуп за дешифровку. Но в большинстве случаев данные были уничтожены и не подлежали восстановлению.

Хорошим примером этого является вирус Ordinypt или GermanWiper, активный в 2017 году. Как и программа-вымогатель, она изменяла файлы и добавила в них случайное расширение из 5 символов. Это также уничтожило параметры восстановления, такие как теневая копия Windows. И он изменил фон рабочего стола, чтобы отразить записку о выкупе с адресом, куда ожидали получить выкуп в биткойнах. Однако он действительно не шифровал файлы. Он заполнил их нулевыми байтами и обрезал их. Благодаря такому подходу не было возможности восстановить какие-либо пораженные файлы.

2. Уничтожение улик

Эту мотивацию, как считают специалисты, доказать сложно и она является одной из наименее очевидной. К такому выводу приходят чаще всего, если нет прямых доказательств использования злонамеренного ПО по другим причинам.

Основной показатель, когда после атаки, вместо того, чтобы затереть все доказательства существования, злоумышленники развертывают внутри организации зловредное ПО. В таком случае защитники изнутри вынуждены сосредоточиться на восстановлении данных, а не на расследовании вторжения. Это стирает улики и увеличивает масштабы уничтожения.

3. Саботаж

В то же время саботаж является наиболее очевидной причиной использования вирусов Wiper.

Одним из примеров этой категории является вредоносное ПО Shamoon, которое использовалось для атаки на Saudi Aramco и другие нефтяные компании. Атака уничтожила 30 тысяч рабочих станций Saudi Aramco. В таких масштабах даже замена этих компьютеров становится кошмаром логистики. Атака была также запланирована на время, когда праздник только начался, чтобы максимизировать свое влияние, рассчитывая на ограниченный персонал, доступный для реагирования на атаку. Что почти парализовало работу компаний.

4. Кибервойна

Эта мотивация появилась вместе с вторжением россии на территорию Украины. На момент публикации было обнаружено семь различных атак вредоносного ПО (WhisperKill, WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoubleZero, AcidRain), направленных на украинскую инфраструктуру или украинские компании. Все они четко отвечают интересам россии в Украине и россии в этой войне.

Вирусы в таких случаях повреждают объекты критической инфраструктуры, тактические и другие цели в интересах противоборствующих военных или все, что может вызвать хаос и усилить психическую нагрузку на противника.

Интересным и недавним примером этого является подозрение, что Wiper AcidRain был использован при атаке на поставщика услуг спутникового широкополосного доступа Viasat KA-SAT. Злоумышленник получил доступ к инфраструктуре управления провайдера для развертывания AcidRain на используемых в Украине модемах KA-SAT. Атака также сделала недоступным 5800 ветровых турбин в Германии.

Особенности Wiper

Скрытое вымогательство

Многие вирусы Wiper ведут себя как программа-вымогатель, то есть используют типовые тактики и приемы (TTP), которые она использует, но они делают это без возможности восстановления файлов. Во многих случаях становится очевидным, что на самом деле это программа-стиратель.

Таким образом они используются для того, чтобы:

• ввести в заблуждение группу реагирования на инциденты и, таким образом, замедлить контрмеры, как Ordinypt.
• скрыть мотивацию нападения в случае, когда подлинной мотивацией является саботаж или кибервойна.

Отличным примером последнего является печально известный NotPetya 2017 года. Все началось с атаки цепи поставок на украинские компании из-за обновления от небольшой украинской компании, занимающейся бухгалтерским программным обеспечением. Но поскольку NotPetya был червем, он также использовал уязвимости другого программного обеспечения для распространения. Для имитации программ-вымогателей, например, шифрования файлов, предоставления биткойн-адреса для оплаты и сообщения о выкупе, пришлось немало усилий. Однако на самом деле это был Wiper, просто уничтоживший данные. Его приписывали группе Sandworm, которая связана с главным управлением генерального штаба вооруженных сил России, которое часто называют ГРУ.

Самораспространение

Как и в случае с NotPetya, важным свойством вирусов Wiper является то, самораспространяются ли они. Если это червь, такой как NotPetya, он самостоятельно распространится на другие машины, как только его выпустят. В таком случае не обязательно больше их контролировать.

Существует несколько способов самораспространения вредоносных программ, используя:

• уязвимости сетевых служб;
• сбор учетных данных на зараженных машинах и использование их для подключения к другим машинам в сети;
• законные способы перехода с одного устройства на другое, например процессов обновления.

Это, конечно, не означает, что самораспространяющееся вредоносное программное обеспечение не может быть разрушительным. Если контроллер домена сломан в сети, его можно использовать для развертывания Wiper на всех машинах организации. Основное отличие состоит в том, что самораспространяющееся злонамеренное программное обеспечение невозможно контролировать после того, как оно было выпущено.

Методы Wiper

Перезапись файлов

Самый простой подход для вирусов Wiper это просто перечислить файловую систему и перезаписать выбранные файлы данными. Как отмечают специалисты FortiGuard Labs, Ordinypt использовал этот подход, перезаписывая файлы с нулевыми (0×00) байтами.

Другим хорошим примером является Wiper WhisperGate, задействованный против украинских организаций в начале этого года. Он также притворялся программным обеспечением-треботелем, хотя файлы нельзя восстановить.

Чтобы запустить вредную деятельность, вирус имел разные этапы и компоненты. На определенном этапе (stage2.exe) вирус загружал компонент повреждения файлов из жестко закодированного канала Discord. Этот компонент проходит через определенные папки, ища файлы с расширениями файлов, жестко закодированными в вредоносном программном обеспечении с разными файлами данных. Злонамеренное программное обеспечение заменяет содержимое файлов 1 МБ байтов 0xCC и добавляет 4-символьное случайное расширение.

Шифрование файлов

Как уже упоминалось ранее, шифрование файла и уничтожение ключа по существу эквивалентно уничтожению файла. Конечно, можно попытаться восстановить файл с помощью грубой силы, но если используются надлежащие алгоритмы шифрования, этот подход совершенно безнадежен.

Шифрование, а не просто перезапись, является очень ресурсоемким и замедляет работу вредоносного программного обеспечения. Единственный случай использования шифрования в Wiper — это когда авторы хотят дольше сохранить вид программ-вымогателей. Так было с NotPetya, которая правильно шифровала файлы.

Перезапись MBR

Многие випусы Wiper также обязательно перезаписывают главную загрузочную запись (MBR) диска. Эта часть диска сообщает компьютеру, как загрузить операционную систему. Если MBR уничтожен, компьютер не запустится. Однако это не означает, что данные на жестком диске были уничтожены. Если поврежден только MBR, данные все еще можно восстановить. Сам по себе он может быть использован только для создания хаоса и неразберихи, но без фактической потери данных. Поэтому его обычно используют вместе с другими методиками.

К примеру, вредоносное программное обеспечение ZeroCleare, которое использовалось против энергетических компаний на Ближнем Востоке в 2019 году, тоже использовало эту технику. Он использовал сторонний инструмент управления драйверами EldoS RawDisk для прямого доступа к жестким дискам, минуя механизмы защиты операционной системы (ОС). Вместо того чтобы перезаписывать файлы на уровне ОС, ZeroCleare перезаписывает диски непосредственно на 0×55 байт. Это, конечно, начинается с MBR и продолжается со всеми разделами. Очень умная техника заключается в том, что он обошел систему контроля подписи драйверов Windows (DSG), защищающую Windows от загрузки неподписанных драйверов (драйвер RawDisk). Сначала он скачал общедоступный известный уязвимый подписанный драйвер VirtualBox. Затем он использовал уязвимость в этом законном драйвере для загрузки неподписанного драйвера RawDisk. Как только это произошло, он получил прямой доступ к дискам в машине.

Перезапись MFT

MFT обозначает главную таблицу файлов, и она существует в каждой файловой системе NTFS. По сути, это каталог всех файлов, существующих в файловой системе, их метаданных, а также содержимое файла или местоположение, где хранится содержимое файла. Если MFT поврежден, операционная система не сможет найти файлы. Это очень простой и быстрый способ вредоносного ПО для удаления файлов. Единственный недостаток подобен повреждению MBR: содержимое файла не обязательно уничтожается. В то время как несколько файлов, хранящихся непосредственно в MFT, будут удалены, большинство файлов хранятся в другом месте на диске, а MFT только предоставляет их расположение ОС. Без MFT ОС не сможет найти содержимое, но содержимое все еще остается на диске.

Увлекательный пример — снова NotPetya. Он заменил MBR целевой машины с помощью специального загрузчика и сохранил пользовательский низкоуровневый код, который называл этот загрузчик. Этот код зашифровал MFT во время первой перезагрузки после заражения. После того, как MFT был зашифрован, он заставлял машину перезагрузиться. После второй перезагрузки устройство больше не будет загружаться, а отображается только сообщение о выкупе.

Использование IOCTL

IOCTL — это интерфейс управления вводом и выводом устройства в Windows. Функция DeviceIoControl () — это интерфейс общего назначения, используемый для отправки управляющих кодов на устройстве. По сути, управляющие коды являются операциями, выполняемыми драйвером устройства. Вредоносное ПО использует этот интерфейс для сбора информации о дисках, предназначенных для фактической очистки.

Вирус HermeticWiper использовал IOCTL для следующих целей:

• усложнение восстановления файла, код IOCTL FSCTL_GET_RETRIEVAL_POINTERS и FSCTL_GET_MOVE_FILES.
• разбора содержимого для определения частей, подлежащих уничтожению, коды IOCTL_DISK_GET_DRIVE_LAYOUT_EX и IOCTL_DISK_GET_DRIVE_GEOMETRY_EX.
• сбор занятых кластеров, чтобы подготовить их для стирания, коды IOCTL FSCTL_GET_VOLUME_BITMAP и FSCTL_GET_VOLUME_BITMAP.
• загрузка записи из файловой системы NTFS, код FSCTL_GET_NTFS_FILE_RECORD.

После того как HermeticWiper собирает все данные, он использует драйвер EaseUS Partition Master для перезаписи выбранных частей диска случайными данными.

Инструменты сторонних разработчиков

Вредоносные программы иногда используют посторонние инструменты для перезаписи данных. Обычно это драйвер Windows для готовых продуктов, чтобы обойти механизмы защиты Windows и управлять дисками.

Злоумышленники не используют посторонние драйверы во-первых из-за того, что на написание собственного хорошего драйвера требуется много времени, плохое же «включит систему охраны» и приведет к расследованию. Во-вторых, в современных системах Windows разрешается загружать только подписанные драйверы, то есть, для загрузки собственного драйвера, нужно было обойти этот механизм безопасности.

Поэтому вирусы чаще всего действуют по сценарию как ZeroCleare, который сначала загружает подписанный, но уязвимый драйвер, а затем использует эту уязвимость для загрузки неподписанного драйвера.

Примеры инструментов сторонних разработчиков:

• EldoS RawDisk, используемый очистителями Shamoon и ZeroCleare;
• Lazarus Group используется в их печально известном взломе Sony.
• EaseUS Partition Master используется HermeticWiper.

В целом большинство вирусов Wiper используют не только одну технику, но и комбинацию. Чем сложнее злонамеренное программное обеспечение, тем больше методов оно нуждается. И, конечно, чем больше методов используется, тем ниже вероятность того, что данные можно восстановить.

Рекомендации

Существует несколько передовых методов, чтобы минимизировать влияние вредоносного ПО Wiper:

Резервное копирование

Вредоносное ПО часто активно ищет резервные копии на машине (например, Windows Shadow Copy) или в сети для уничтожения. Поэтому резервные копии должны храниться вне сайта и в автономном режиме, чтобы выдержать сложные атаки.

Сегментация

Правильная сегментация сети может быть полезна на нескольких уровнях. К примеру, он может ограничить влияние атаки на один сегмент сети. Кроме того, брандмауэры, используемые в сочетании с антивирусными системами и системами предотвращения вторжений, такими как FortiGate, FortiGuard IPS и FortiGuard Content Security, могут обнаруживать распространение вредоносного программного обеспечения в сети, связь с известными серверами команд и управления, а также вред. файлы, перемещаемые по сети.

План аварийного обновления

Какие процессы были определены для непрерывности бизнеса без ИТ? Как будет производиться восстановление с резервных копий и как организация сообщит об инциденте клиентам и СМИ? Это все вопросы, которые следует решить перед нападением в плане аварийного восстановления, которое будет бесценным во время чрезвычайного стресса активной атаки.

Реакция на инцидент

Скорость и качество реагирования на инцидент являются решающими, и от этого может сильно зависеть результат атаки между успешным предотвращением потери данных и полным их уничтожением.

Читайте главные IT-новости страны в нашем Telegram

По теме

Читайте главные IT-новости страны в нашем Telegram

Война миров. Тысячи хакеров в мире воюют на киберфронте: кто из них на стороне Украины, а кто против нас?

По теме

Война миров. Тысячи хакеров в мире воюют на киберфронте: кто из них на стороне Украины, а кто против нас?

Не только РФ. ТОП-5 хакерских группировок, наиболее часто атакующих Украину

По теме

Не только РФ. ТОП-5 хакерских группировок, наиболее часто атакующих Украину

Стать хакером может каждый. 10 курсов по кибербезопасности от международных онлайн платформ

По теме

Стать хакером может каждый. 10 курсов по кибербезопасности от международных онлайн платформ