blob: ff2b3436fded1b219ec174509e2cbe4a2a695b26 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
|
# Essay tema 1
Hmm ved ikke om det her bliver et essay.
## Opgave
> Vælg et angreb: Find en beskrivelse og gennemgang et cyberangreb, der har fundet sted, og lav en 2-siders essay dækkende:
>
> Hvad der skete
> Hvem der gjorde det (eller hvem man tror har gjort det)
> Hvilken type angreb der var tale om
> Hvilken sårbarhed der blev udnyttet og hvordan det var muligt at gennemføre angrebet
> Hvordan angrebet kunne have været forebygget
> Dine egne reflektioner og tanker om angrebet
> Andre observationer eller kommentarer du synes er relevante
## Noter
NotPetya i to dele EternalBlue og Mimikatz.
Mimikatz trækker passwords ud af memory på win.
EternalBlue bruger en patched blabla
Arbejdede sammen for at sprede sig
NotPetya corrupted boot record
Kun lavet til at smadre
Blev smittet af et penge program som fit indsat virusen.
Ikke opdateret windows, nogle windows 2000. Ikke ordenlig netværks segmentering.
## Kilder
https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
https://www.varonis.com/blog/what-is-mimikatz/
## Tekst
Jeg har valgt at skrive lidt om NotPetya angræbet som rystede verden i 2017.
Virusen startede originalt i Ukraine men spredte sig hurtigt til mange dele af verden
og nedlade store virksomheder som Maersk etc.
Angrebet startede ved et Ukrainsk accounting program M.E.Doc som har mange brugere rundt i Ukraine.
Dette program henter periodiske opdateringer af en central server i Kiev, og ved
at indlejre NotPetya i en software opdatering blev den hurtigt spredt til mange computere i Ukraine.
NotPetya ligner ransomware i at det kryptere data på alt enheden, men uden at give brugeren mulighed for at dekryptere det.
Udover dette ødelægger det boot sectoren på computerens harddisk hvilket stopper den i at starte.
Ud fra dette er det ret tydeligt at det ikke er blevet lavet for at ødelægge så meget infrastruktur som muligt.
Virusen bruger to Windows specifikke exploits EternalBlue og Mimikatz.
EternalBlue bruges til at sprede sig til ikke opdaterede computere ved at udnytte
en fejl i Windows SMB protokollen.
Mimikatz bruges til at hente authentication data ud fra RAM på Windows computere,
som den så kan bruge til at logge ind på andre computere.
Dette er en rigtig god kombination da den kan bruge begge exploits til meget hurtigt at sprede sig på et netværk.
Et godt eksempel på dette er da Maersk blev ramt af NotPetya, hvilket lagde virksomheden ned i flere dage.
NotPetya kom ind i Maersk ved at en Ukrainsk medarbejder fik installeret M.E.Doc og fik hentet virusen ned gennem en opdatering.
Derefter spredte virusen sig hurtigt gennem Maersk dårligt segmenterede netværk og lagde alle deres afdelinger ned.
Spredningen var ekstra effektiv eftersom Maersk ikke var gode til at opdatere deres
computere og ikke gav deres IT afdeling nok budget.
Maersk var ikke alene men de er et godt eksempel på hvad der er galt med mange firmaers
holdning til IT sikkerhed og hvad der kan forbedres.
Udbredelsen af NotPetya kunne være mindsket ved at segmentere netværk så det ikke
kan sprede sig så langt som i Maersk tilfælde.
Og eftersom EternalBlue exploiten der blev brugt var blevet fixet før angrebet,
kunne en opdatering have sænket sprednings hastigheden.
Men det er nemt at sige bagefter og prioriteten har tydeligvis lagt et andet sted.
Til gengæld har dette angreb fungeret som et wakeup call til at det nok er en god
ide at tage IT sikkerhed mere seriøst.
Personligt tror jeg ikke at det er til at undgå at sådan noget sker.
Store firmaer såsom Maersk har rigtig mange computere fordelt over rigtig mange
afdelinger og det er super dyrt at vedligeholde sådan komplekse systemer.
Tror at det kunne være gået meget være da Maersk kunne hente en stor del af deres
systemer tilbage via backup.
|
