Petya or not Petya, that is the question

Magazine
Marque
MISC
Numéro
93
Mois de parution
septembre 2017
Domaines


Résumé

Suite à la déferlante (Not)Petya survenue fin juin, de nombreux articles ont été écrits sur le fonctionnement du malware avant redémarrage de la station infectée, mais bien peu sur ce qui se passe ensuite. Cet article détaille pas à pas comment analyser la phase de boot, en se voulant didactique.


 

Le fichier analysé est la DLL de md5 71b6a493388e7d0b40c83ce903bc6b04 que l’on peut trouver facilement sur Internet. Avant de tenter de se propager sur le réseau local puis de chiffrer des fichiers en fonction de leur extension, le malware réécrit les premiers secteurs du disque (à condition d’avoir obtenu les droits suffisants) pour installer son propre programme de démarrage (bootloader) :

- le MBR original est copié dans le secteur 34, puis son contenu est xoré avec 7 ;

- les 19 premiers secteurs sont remplacés par un nouveau programme de démarrage qui est l’objet de cet article ;

- la table de partitions originale est copiée dans le nouveau MBR ;

- le secteur 32 contient la configuration du malware (voir figure 1) ;

- le secteur 33 est rempli avec la valeur 7.

 

1-Configuration

 

Fig. 1 : Fichier de configuration de NotPetya.

C’est le même fonctionnement que le Petya original qui a déjà fait l’objet d’un article dans MISC...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.