![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
👉 Petya повернувся з мертвих. Тепер він шифрує MFT прямо через Secure Boot. Дякуємо, Microsoft.
Тут ESET викотив (https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass/) детальний розбір нового шифрувальника HybridPetya. Здавалося, що MFT-шифрувальники залишилися в минулому і ось знову. Petya еволюціонував, але з двома ключовими апгрейдами, тепер він з повноцінним UEFI-буткітом і механізмом обходу Secure Boot.
Препаруємо цю заразу. Інсталятор визначає стандарт розмітки диска, бекапіт оригінальний bootmgfw.efi в bootmgfw.efi.old, підміняє його своїм буткітом, створює свої файли (config, verify, counter) в \EFI\Microsoft\Boot\ і викликає BSOD, щоб примусово перезавантажити систему і передати управління буткіту.
Але самий сік в обході Secure Boot. Тут використовується вразливість CVE-2024-7344. Атакуючі кладуть на ESP вразливий, але легітимно підписаний Microsoft завантажувач reloader.efi (зі стороннього recovery-софта), перейменувавши його в bootmgfw.efi. Поруч кладеться файл cloak.dat, в якому і сидить сам непідписаний буткіт. При завантаженні система перевіряє підпис reloader.efi, бачить, що він валідний і спокійно його запускає. А він, у свою чергу, тупо підвантажує та виконує код із cloak.dat, повністю обминаючи весь ланцюжок довіри Secure Boot. Все це не виглядає як якийсь злом, це скоріше використання легітимного, але дірявого компонента. Троянський кінь, якому самі відчинили ворота, бо в нього на лобі печатка Microsoft 😶
Щоб Петя не зіпсував нерви, рекомендується переконатися, що в системі інстальовано оновлення Windows за січень 2025 або новіше. Microsoft відкликала вразливі завантажувачі, додавши їх хеші в dbx (базу відкликаних підписів). По-друге, налаштувати в EDR/SIEM алерти на будь-який запис \EFI\Microsoft\Boot\. Це дуже низькошумний і високоточний індикатор компрометації. І по-третє, перевірте свої офлайн-бекапи. Проти MFT-шифраторів це єдине, що реально врятує.
© Типичный 🙏 Сисадмин (https://t.me/+ksMnj1y9FaAyMGJi)
FYI
Дослідження
ESET представляє HybridPetya: копіювання Petya/NotPetya з UEFI Secure Boot в обхід
UEFI копіювання Petya/NotPetya з використанням CVE-2024-7344 виявлено на VirusTotal
Компанія ESET Research виявила компанію HybridPetya на платформі спільного використання зразків VirusTotal. Це копія сумнозвісного шкідливого програмного забезпечення Petya/NotPetya, яке додає можливість компрометації систем на базі UEFI та використовує CVE-2024-7344 як зброю для обходу UEFI Secure Boot на застарілих системах.
Ключові моменти цієї публікації в блозі:
• Нові зразки програм-вимагачів, які ми назвали HybridPetya, що нагадують сумнозвісне шкідливе програмне забезпечення Petya/NotPetya, були завантажені на VirusTotal у лютому 2025 року.
• HybridPetya шифрує Master File Table, яка містить важливі метадані про всі файли на розділах, відформатованих у форматі NTFS.
• На відміну від оригінальних Petya/NotPetya, HybridPetya може скомпрометувати сучасні системи на базі UEFI, встановивши шкідливу програму EFI на системний розділ EFI.
• Один із проаналізованих варіантів HybridPetya використовує CVE-2024-7344 для обходу UEFI Secure Boot на застарілих системах, використовуючи спеціально створений файл cloak.dat.
• Тeлеметрія ESET поки що немає ознак використання HybridPetya в дикій природі; це шкідливе програмне забезпечення не демонструє агресивного поширення мережі, яке спостерігалося в оригінальному NotPetya.
Далі 👁:
• https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass/
