İlk enfeksiyon Ukrayna Menşeili MEDoc. Şirketinin vergi ve muhasebe işlerini yürüttükleri tedarik zinciri yazılımına bulaşmış gibi görünüyor. Bu enfeksiyon güvenlik araştırmacıları, media ekipleri hatta ukraynanın kendi siber polis ekibinin spekülasyonlarıyla sadece ikinci derece delillere dayanarak yayıldı.Microsoft şuanda elinde bir kaç enfeksiyona dair gerçek deliller bulunuyor(MEDoc update prosesleri de dahil olmak üzere).Daha önce dikkat çektiğimiz bir husus olarak Yazılım Tedarik zinciri atakları tehlikelli ve saldırganlar tarafından bir trend haline gelmiş durumda bundan dolayı gelişmiş bir savunma gereklidir.
27 Haziran da 10:30 civarlarında (GMT saat diliminde) MEDoc Yazılımının Update Proseslerinde(EzViT.exe),Saldırı Şablonuna uyan kötü niyetli komut satırı işlemleri çalıştırdığına işaret eden bir telemetri gözlemledik.Uygulama zinciri diagramı ransomware kurulumuna yön veriyor. Aşağıda EzViT.exe nin izlemiş olduğu prosesleri göreceksiniz. Uygulamanın aşağıdaki komutu belli aralıklarla çalıştırdığı gözlemlendi ancak sebebi halen tespit edilemedi.
C:\\\\Windows\\\\system32\\\\rundll32.exe\\” \\”C:\\\\ProgramData\\\\perfc.dat\\”,#1 30
C:\\\\Windows\\\\system32\\\\rundll32.exe\\” \\”C:\\\\ProgramData\\\\perfc.dat\\”,#1 30
Biraz fazla uzun ve görsel ağırlıklı bir makale olduğu için hepsini eklememin iyi olacağını düşünmüyorum. Bu alana yönelik çalışması ve incelemeleri olan arkadaşlar varsa aşağıda linki vereceğim tamamına ulaşabilirsiniz. Birçok yabancı kaynaktan edindiğim bilgileri çevirerek paylaştım. Amacım reklam değil zaten burada ilk makale paylaşımım olacak. Büyük konuları ara ara böyle sizlere de duyurmayı düşünüyorum.
https://www.teknoyum.com/internet/petya-ransomware-nedir-nasil-silinir/
