网站首页 > 新闻资讯 > 业界资讯

蓝盾再支招!Petya勒索软件的安全保护机制

2017-07-12 09:37:26 盛世九久官方网站 阅读


标签:

 

永恒之蓝 永恒浪漫 MS17-010 Petya

 

背景

 

根据报道,2017627日欧洲地区遭受新的勒索病毒攻击。首轮攻击出现在乌克兰,约有超过12,500 台电脑遭受威胁。随后在其他64个国家包括比利时,巴西,德国,俄罗斯以及美国都出现了电脑受到感染的案例。

 

这一新型勒索病毒具有蠕虫病毒的特点,会在受感染的网络中横向传播。根据调查,这一种新的勒索病毒与Win 32/ Petya 勒索病毒的代码相似,是Win 32/ Petya 勒索病毒的新变种,而且更为复杂。

 

传递 &安装

 

最初的感染与一家乌克兰开发税务会计软件的公司M.E.Doc 的软件供应链威胁有关。微软认为这种供应链攻击是最近较危险的攻击趋势,需要高级防护措施来应对。

 

多维横向移动技术

 

由于这一新型勒索病毒新增了横向扩散的特点,只要一台电脑遭受感染,病毒就可以在受感染的电脑所在的网络蔓延。该病毒传播感染的方式如下(在以下论述中,我们只着重讨论第二种情况):

 

通过凭据窃取(credential theft )进行传播

 

通过永恒之蓝( EternalBlue)以及永恒浪漫(EternalRomanc)进行传播

 

这个新型勒索软件能通过已知的已被打上补丁的SMB漏洞CVE-2017-0144 (也叫永恒之蓝),此漏洞曾被WannaCrypt利用以感染过时的主机。另外,Petya也利用了第二个漏洞CVE-2017-0145 (也被称作永恒浪漫)。这个病毒除了通过SMB,还有个路径是Windows 管理共享服务,及WMIWindows Management Instrumentation Windows 管理规范)。

 

这两个漏洞在早期是由一个叫做Shadow Brokers的组织所泄露。然而,早在2017314日,此漏洞已被微软公司所修复。

 

为此漏洞打上补丁或禁止SMBv1协议的机器将不会受到此传播特性的影响。

 

加密

 

此勒索软件的加密行为取决于恶意软件的进程的优先级程度和在目标机器上所运行的进程。

 

该病毒在成功修改MBR后,会进而显示虚假的系统信息,提示用户硬盘包含错误并显示虚假的完整性检查过程:

盛世九久


随后显示勒索信息:


盛世九久

只有当此恶意软件运行在最高权限时,它才会去重写MBR的代码。

 

这种勒索病毒企图对硬盘上除了C:\Windows之外的所有文件夹中包含如下后缀名的所有文件进行加密:


盛世九久

和其他大部分的勒索软件不同的是,此威胁不再在新的被加密文件中加入后缀名。取而代之的是,它直接覆盖所述源文件。

 

除了加密文件,此勒索软件还会尽可能去重写MBRVBR中的第一个分区。

 

当加密以后,它会生成一个README.TXT文件,如下图所示:


此勒索软件也会清除系统,安全,安全和应用程序事件日志。同时,删除NTFS记录日志信息。

 

推荐的保护机制

 

●保证您的Windows系统更新

 

●有一个数据备份的计划

 

●拥有一个灾害应急机制

 

●使用蓝盾防火墙基于人工智能的恶意软件侦测引擎,

以代替传统的基于签名的检测引擎

 

●我们推荐客户尽快为系统安装安全升级补丁MS17-010。在安装补丁之前,有两种折中方法可以降低攻击面:

 

       ○根据Microsoft Knowledge Base Article 2696547和前面的推荐步骤,禁用SMBv1

 

       ○考虑在防火墙或IPS上增加一条规则,此规则用于阻挡向内的在端口445中的SMB流量

 

开放性问题

 

●勒索软件成为服务?

Petya,是抹除(强调破坏)还是勒索(赚钱)性质?

2016(更改可被逆向)和2017(永久性损坏)Petya病毒版本的异同?

 

资源

 

x86, Windows 8 x86, Windows 8 x64

 

下载 本地语言安全升级:

 

Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

 

MS17-010 安全更新:

 

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

关于勒索软件的通用信息:

 

https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

 

Download English language security updates:

 

Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

 

Download localized language security updates:

 

 Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

 

MS17-010 Security Update:

 

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

 

General information on ransomware:

 

https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

 

Next-generation ransomware protection with Windows 10 Creators Update:

 

https://blogs.technet.microsoft.com/mmpc/2017/06/08/windows-10-creators-update-hardens-security-with-next-gen-defense/

 

下载 英语语言安全升级:

 

Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3

 

妥协指标

 

文件妥协指标

 

34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d

9717cfdc2d023812dbc84a941674eb23a2a8ef06

38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf

56c03d8e43f50568741704aee482704a4f5005ad

(HASH) 71b6a493388e7d0b40c83ce903bc6b04

(SHA256)

542a38bf52afa6a4a008089a6fbf22c9d68ef5d6c634dd2c0773d859a8ae2bbf

(SHA256)

027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

 

网络妥协指标

 

在有NetFlow数据存在的环境下,此勒索软件在子网的扫描行为可以通过观察以下现象得知:

 

●在自己网络/24范围内扫描网络端口 tcp/139  tcp/445

●在横跨/24的域中,服务器扫描端口 tcp/139  tcp/445

 

参考:

●微软安全博客