Petya or not Petya, that is the question

Magazine
Marque
MISC
Numéro
93
Mois de parution
septembre 2017
Auteurs
Par
Teddy
Benjamin
Spécialité(s)
Malware
Tag(s)
BIOS
MBR
Petya


Résumé

Suite à la déferlante (Not)Petya survenue fin juin, de nombreux articles ont été écrits sur le fonctionnement du malware avant redémarrage de la station infectée, mais bien peu sur ce qui se passe ensuite. Cet article détaille pas à pas comment analyser la phase de boot, en se voulant didactique.


 

Le fichier analysé est la DLL de md5 71b6a493388e7d0b40c83ce903bc6b04 que l’on peut trouver facilement sur Internet. Avant de tenter de se propager sur le réseau local puis de chiffrer des fichiers en fonction de leur extension, le malware réécrit les premiers secteurs du disque (à condition d’avoir obtenu les droits suffisants) pour installer son propre programme de démarrage (bootloader) :

- le MBR original est copié dans le secteur 34, puis son contenu est xoré avec 7 ;

- les 19 premiers secteurs sont remplacés par un nouveau programme de démarrage qui est l’objet de cet article ;

- la table de partitions originale est copiée dans le nouveau MBR ;

- le secteur 32 contient la configuration du malware (voir figure 1) ;

- le secteur 33 est rempli avec la valeur 7.

 

La suite est réservée aux abonnés. Il vous reste 95% à découvrir.
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Envie de lire la suite ? Rejoignez Connect
Je m'abonne maintenant


Article rédigé par

Benjamin
Benjamin
1 articles
Teddy
Teddy
1 articles

Les listes de lecture

Sécurité Windows : Active Directory
11 article(s) - ajoutée le 01/07/2020
Sécurité réseau
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.
Sécurité des mobiles
8 article(s) - ajoutée le 13/10/2020
Mobilité Sécurité système
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.
Cryptographie appliquée
10 article(s) - ajoutée le 13/10/2020
Crypto
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Plus de listes de lecture