Petya Bulaşıp Bulaşmadığını Nasıl Tespit Edebiliriz?

05-09-2022, 17:05:43

#1
AboveShaft

Açık Profil bilgileri

Özel Mesaj Gönder

AboveShaft tarafından gönderilen tüm mesajları bul

AboveShaft'ı arkadaş olarak ekle
Siber Tehdit İstihbaratı destekli bir SIEM cozumu kullanıyorsanız aşağıda belirtilen IP adreslerine erişim olup olmadığını gecmişe yonelik kontrol edebilirsiniz.

Petya zararlısının kullandığı bilinen IP adresleri:

29.78 16.242 139.247 115.108 Tehdit gozetleme sistemi olarak Snort veya Suricata veya bunların kural setini destekleyen bir saldırı tespit ve engelleme sistemi (IDS/IPS) kullanıyorsanız Positive Tech tarafından yayınlanmış aşağıdaki imzaları sisteminize yukleyebilirsiniz.

Kod:
alert tcp any any -> $HOME_NET 445 (msg: “[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool”; flow: to_server, established; content: “|FF|SMB2|00 00 00 00|”; depth: 9; offset: 4; byte_test: 2, >, 0x0008, 52, relative, little; pcre: “/xFFSMB2x00x00x00x00.(?:x04|x09|x0A|x0B|x0C|x0E|x11 )x00/”; flowbits: set, SMB.Trans2.SubCommand.Unimplemented; reference: url, msdn.microsoft.com/en-us/library/ee441654.aspx; classtype: attempted-admin; sid: 10001254; rev: 2 alert tcp any any -> $HOME_NET 445 (msg: “PT Open ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE”; flow: to_server, established; content: “|FF|SMB3|00 00 00 00|”; depth: 9; offset: 4; flowbits: isset, SMB.Trans2.SubCommand.Unimplemented.Code0E; threshold: type limit, track by_src, seconds 60, count 1; reference: cve, 2017-0144; classtype: attempted-admin; sid: 10001255; rev: 3 alert tcp any any -> $HOME_NET 445 (msg: “PT Open Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool”; flow: to_server, established; content: “|FF|SMB2|00 00 00 00|”; depth: 9; offset: 4; content: “|0E 00|”; distance: 52; within: 2; flowbits: set, SMB.Trans2.SubCommand.Unimplemented.Code0E; reference: url, msdn.microsoft.com/en-us/library/ee441654.aspx; classtype: attempted-admin; sid: 10001256; rev: 2 alert tcp any any -> $HOME_NET 445 (msg: “PT Open Petya ransomware perfc.dat component”; flow: to_server, established, no_stream; content: “|fe 53 4d 42|”; offset: 4; depth: 4; content: “|05 00|”; offset: 16; depth: 2; byte_jump: 2, 112, little, from_beginning, post_offset 4; content: “|70 00 65 00 72 00 66 00 63 00 2e 00 64 00 61 00 74 00|”; distance:0; classtype:suspicious-filename-detect; sid: 10001443; rev: 1 alert tcp any any -> $HOME_NET 445 (msg:”PT Open SMB2 Create PSEXESVC.EXE”; flow:to_server, established, no_stream; content: “|fe 53 4d 42|”; offset: 4; depth: 4; content: “|05 00|”; offset: 16; depth: 2; byte_jump: 2, 112, little, from_beginning, post_offset 4; content:”|50 00 53 00 45 00 58 00 45 00 53 00 56 00 43 00 2e 00 45 00 58 00 45|”; distance:0; classtype:suspicious-filename-detect; sid: 10001444; rev:1

Henuz sistemlerinize Pedya fidye yazılımı bulaşmadıysa internet uzerinden ip adreslerinizi (SMBv1 desteğine karşı ) taratarak acıklığın olup olmadığını tespit edebilirsiniz. Ek olarak MEDOC yazılımı kullanıyorsanız ilgili sistemleri ağdan yalıtıp inceleme yapmanız gerekebilir.