Blinkende ASCII-hodeskalle avslører at NotPetya-bakmennene ikke hadde Petya-kildekoden

Blinkende ASCII-hodeskalle avslører at NotPetya-bakmennene ikke hadde Petya-kildekoden

Var NotPetya bare en ny variant i samme familie ransomware, eller var det noen andre som sto bak? En kikk på den binære koden gir kanskje et svar.

Det er vanskelig å si med sikkerhet hvem som sto bak siste ukes angrep med skadevaren NotPetya. Men en kikk på hvordan den er skrudd sammen kan sannsynligvis utelukke i hvert fall én mulig aktør.

Sikkerhetsekspert «Hasherezade» har analysert den kjørbare koden i NotPetya for Malware Bytes og funnet frem til at bakmennene antagelig ikke har hatt tilgang til den originale kildekoden til utpressingsvaren Petya, som den ellers på mange måter ligner.

Petya-utpressingsvaren har vært kjent i mer enn et år, og tilskrives en bakmann som kalles «Janus». Derfor kunne en nærliggende teori være at NotPetya var neste trinn i en videreutvikling av denne familien. 

En annen teori er at noen har tatt Petya-skadevaren og modifisert den, og undersøkelsen av den binære programfilen ser ut til å støtte denne teorien.

Det er en rekke endringer i forhold til den nyeste kjente versjonen av Petya, som er døpt GoldenEye. Mest åpenlyst så viser Petya og GoldenEye en blinkende rød hodeskalle, skrevet med ASCII-tegn, på skjermen når utpressingsvaren starter PC-en på nytt.

Det ligger en funksjon for å vise hodeskallen i både GoldenEye og NotPetya, men i NotPetya er kallet til funksjonen fjernet. 

Det er imidlertid måten dette kallet er fjernet på som er interessant. Det ser nemlig ut til at det har skjedd ved å endre manuelt i maskinkoden. Det vil si å rette i den kompilerte koden.

Satt sammen av forskjellige stumper med skadevare

En måte å se om det kunne være tilfelle, er ved å se om endringene viser tegn på å ha vært gjennom en kompilator. Kompilatoren oversetter til maskinkode og gjør samtidig en rekke optimaliseringer. Den fjerner for eksempel dobbelte referanser hvis de kan erstattes av én enkelt, og vil også ofte fjerne kode som ikke blir brukt.

I maskinkoden til NotPetya kan man ifølge Hasherezade se at det stadig er en rekke optimaliseringer av den typen man vil forvente av kompilatoren, men for noen av de ting som er endret sammenlignet med originalen, så mangler tilsvarende optimaliseringer.

Den koden som brukes til å tegne hodeskallen ligger også fortsatt i koden, men blir aldri kalt opp. Det er samtidig mulig å endre maskinkoden tilbake igjen så kraniet fortsatt blir vist, også i NotPetya.

Alt dette tyder på at de som har laget skadevaren som vi kaller NotPetya, ikke har hatt tilgang til Petyas kildekode. Samtidig forteller det oss at de som har laget NotPetya har hatt kompetansen til å endre i den kompilerte koden.

NotPetya er satt sammen av forskjellige stumper med skadevare, blant annet EternalBlue-exploitet mot Windows og også en i forveien kjent skadevarefamilie. Det er uvisst hvorfor bakmennene har valgt å modifisere nettopp Petya, hvor kildekoden ikke er lekket – i motsetning til en rekke andre skadevarefamilier.

Artikkelen er levert av version2.dk

Kommentarer (1)

Kommentarer (1)
Til toppen