Daha önce 2016 yılında karşılaştığımız Petya fidye yazılımının yeni siber silahlarla donatılmış sürümü.
Network içerisinde hareket etmek için NotPetya’nın bir çok aracı var. Ayrıca içerisinde modifiye edilmiş bir de Mimikatz var ve bununla, çalışan sistemdeki hafızada bulunan yönetici parolalarını ele geçiriyor. Bu detaylarla beraber PsExec ve WMIC kullanarak yayıldığı bilgisayarları enfeksiyona uğratıyor. Subnet’i tarayarak başka hedef sistemlere ulaşıyor, ele geçirdiği domain controllerlar’da da DHCP servisini kullanarak bilinen sistemleri tanımlıyor.
WannaCry tarafından sömürülen, NSA’den çalınmış “eternalblue” olarak bilinen SMB protokolündeki exploiti kullanıyor, evet. Dahası yine aynı kurumdan çalınmış EternalRomance SMB exploitinin modifiyeli versiyonunu, başka sistemlere zararlı kod enjekte etmek için kullanıyor. Bu açıklar Microsoft tarafından yayınlanan yamalar ile 2017 ilk çeyreğinde kapatılmıştı ancak Windows güncellemelerini almayan sistemlerde saldırı başarılı oldu.
Hatta bazı söylentilere göre, NotPetya, Microsoft’un Nisan ayında kapattığını söylediği CVE-2017-0199 (Microsoft Office uygulamalarında dökümana zararlı kod gömme)açığını da kullanabiliyor.
Bu tarz zararlı yazılımlardan beklendiği gibi tipik bir şekilde NotPetya, bulaştığı sistemde Yönetici haklarını ele geçiriyor ve bu yetkileri ağdaki başka bilgisayarlara el koymak için kaldıraç olarak kullanıyor. Burada gerçek şu ki yazılımın başarılı olmasının en büyük nedeni sayısız kurum ve kuruluşun düz bir network yapısı kullanıyor olması. Bunun da anlamı, bir son kullanıcıdaki Yönetici, diğer bilgisayarları da kontrol edebiliyor ya da diğer bilgisayarların hafızasında bulunan Etki Alanı Yöneticisi kimliklerini çekebiliyor, Windows Aktif Dizin yapısını ve buna bağlı bilgisayarları tamamen ele geçirebiliyor.
Yönetici yetkilerini ele geçirmenin bir yolu NSA exploitlerini kullanmak. İkinci metod ise kullanıcıyı ağdaki bir yöneticiden geliyormuş gibi gösterilen e-postanın eklentisindeki zararlı yazılıma yönlendirmek. NotPetya ile karşılaştığımız yeni metod ise Ukrayna ve Doğu Avrupa bloğunda yoğun olarak kullanılan MeDoc vergi yazılımı gibi yönetici yetkileriyle çalışan uygulamaya, zararlı yazılımı içeren sahte güncelleme göndermek. Yönetici yetkileri de zararlı yazılımın, ağdaki bilgisayarlarda en üst ayrıcalıkla çalıştırılması için fazlasıyla yeterli oluyor.
NotPetya karşılaştığımız diğer zararlı yazılımlardan farklı olarak, yetkilerini ağ içerisinde yükseltmekle kalmayıp, bu yetkileri aynı zamanda MBR partisyonunun yeniden yazmakla kullanabiliyor. Sonuç, makinayı her başlattığınızda Windows yerine karşınıza NotPetya çıkıyor. Bu noktada geleneksel anti-virüs yazılımınıza ve endpoint koruma uygulamalarınıza güle güle diyorsunuz. Yazılım aynı zamanda NTFS dosya sistemini, içerisinde bulduğu her veriyi ve diski AES-128 standardında kriptolayabiliyor.
NotPetya’ya fidye yazılımı diyemiyoruz çünkü kriptolananan verilerinizi çözecek anahtarı almanız mümkün değil. Birincisi kriptoyu çözecek anahtarı nasıl alabileceğiniz konusunda size bilgi verilmiyor, ikincisi de saldırganlarla kontak kurabileceğiniz kanallar yetkililer tarafından kapatılmış durumda.