行动起来,阻断Petya传播途径!

百家 作者:绿盟科技 2017-06-29 10:13:47

北京时间6月27日,据国外社交媒体消息,乌克兰、俄罗斯两国的政府机构、机场、银行以及多家大型工业企业部分计算机系统遭受勒索病毒威胁,导致主机无法正常引导开机,严重影响了国家多个正常业务的运转;同时6月27日晚间,国内部分外企也确认有发现感染同样的勒索病毒。

感染此勒索病毒的计算机在重新启动开机后,出现以下界面,除非用户按照屏幕提示的支付赎金,否则用户将无法继续正常启动计算机。

同时用户计算机中的重要文件,也将会被此勒索病毒加密,无法通过数据恢复的方式恢复,造成信息损失。

被加密的文件名后缀涵盖office文档、压缩包、虚拟磁盘文件、程序源代码等超过60种文件格式。

根据勒索信息判断,此勒索病毒为Petya的变种。和之前版本的Petya的最大区别在于,此次的Petya勒索病毒最新变种,具有蠕虫传播的特征,会通过多种方式进行内网传播执行。

1 通过自带的密码窃取工具,盗取用户计算机上的登录凭据,用于文件共享复制传播,并使用PsExec或WMIC工具在远程计算机上执行。

2 通过使用SMB漏洞利用工具 EternalBlue 和 EternalRomance,在网络中复制传播执行。

传播途径

此勒索病毒可以通过今年4月份曝出的Office 0day漏洞(CVE-2017-0199),通过恶意RTF文件进行钓鱼攻击。一旦执行后,其会解密出其资源中的4个文件用于后续内网传播。

勒索病毒会根据系统的运行环境,32位还是64位系统,将对应版本的密码内存窃取工具,释放到系统临时目录下。

执行释放的密码内存窃取工具,从用户活跃的session中窃取用户密码,然后通过创建管道 “\.pipe{ 随机的CLSID }”进行进程间通信,读取窃取的用户密码。

 

一旦有了密码,通过网络共享,将其复制到内网其他主机上。

然后将解密出的3号资源释放到系统目录下,重命名为dllhost.dat。此文件实际上Windows PsExec 工具,具有微软的数字签名,可以在远程系统上执行程序。

利用此工具通过下面的命令在内网远程主机上运行此前已复制的勒索病毒本体。

dllhost.dat \{远程主机IP} -accepteula -s -d C:WindowsSystem32rundll32 “C:Windowsperfc.dat”,#1


如果执行失败,则还会通过WMIC的方式在内网远程主机上尝试执行,实现蠕虫式的传播执行。

Wbemwmic.exe /node:"远程主机IP" /user:"username" /password:"password" "process call create "C:WindowsSystem32rundll32.exe "C:Windowsperfc.dat" #1"

此外,这个勒索病毒还会尝试用之前NSA泄露的 EternalBlue 和 EternalRomance 利用工具进行传播。

防护方案



绿盟威胁分析系统(TAC)检测通过网页、邮件或文件共享方式试图进入内部网络的恶意软件,是专门检测邮件高级威胁的网络沙箱类安全产品。

该产品主要针对包含未知威胁代码的鱼叉APT攻击和勒索软件两大类高级邮件威胁。


企业网络管理员可使用绿盟入侵防御系统NIPS对网络中的攻击报文和Doublepulsar后门连接报文进行阻断,防范病毒进一步扩散,如下图:




请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接