Petya勒索软件变种Nyetya全球爆发

简介: 本文讲的是 Petya勒索软件变种Nyetya全球爆发,自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya.

本文讲的是 Petya勒索软件变种Nyetya全球爆发,自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya。目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息。

勒索软件Nyetya概述勒索软件Nyetya概述

基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永恒之蓝(EternalBlue)攻击工具和Windows系统的WMI进行传播。与之前出现的WannaCry不同,此次的变种中没有包含外部扫描模块,而是利用了psexec管理工具在内网进行传播。

目前还没有完全确定该勒索软件的传播源头和路线,基于目前的分析,我们认为这个勒索软件的传播和感染,很可能与乌克兰的一款被称为MeDoc的会计管理软件的升级更新系统有关。思科Talos还在持续分析该勒索软件的传播源头。

思科Talos在今年4月份就发布了保护针对MS17-010攻击的Snort规则,对于此次发现的变种Talos已经将勒索软件的变种加入到了AMP(Advanced Malware Protection)的黑名单列表中。

勒索软件Nyetya的主要功能

思科Talos在被勒索软件感染的系统上,发现了一个名为Perfc.dat的文件,该文件的功能是进一步感染其他系统,它包含了一个还未被命名的模块,暂命名为#1,其功能是通过Windows API AdjustTokenPrivileges获取当前账号的管理员权限,一旦成功,该勒索软件将重写磁盘的启动分区记录MBR(Master Boot Record)。无论MBR重写成功与否,在完成感染一小时后,都将自动重启系统。

在勒索软件散播过程中,利用了NetServerEnum遍历所有可见的主机,然后扫描所有开放了TCP 139端口的主机,并将这些主机加入到易感染主机列表中。

一旦主机被感染后,勒索软件会使用以下三种方式进行传播:

EternalBlue – 永恒之蓝,与WannCry相同的入侵方式。
Psexec – Windows系统自带的管理工具。
WMI – Windows Management Instrumentation,Windows系统自带的组件。
以上方式被用于勒索软件安装和运行perfc.bat程序,进一步感染其他内网主机。

利用当前用户的Window Token信息,在被感染的主机上psexec被用于运行下列指令来安装勒索软件(Talos还在分析获得Window Token的方式):
image

利用当前账号的用户名和密码信息,WMI被用于执行下面命令,实现上述相同的功能(Talos还在分析获得用户的凭证信息的途径):
image

思科发布最新防护规则

目前思科已经能够提供对该勒索软件防护的产品包括:
image

思科NGIPS/Snort Rules提供了下列Snort规则检测该勒索软件:

42944 – OS-WINDOWS Microsoft Windows SMB remote code execution attempt
42340 – OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt
下列NGIPS/Snort Rules提供感染流量的检测告警:

5718 – OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param/Count OS-WINDOWS attempt
1917 – INDICATOR-SCAN UPnP service discover attempt
42231 – FILE-OFFICE RTF url moniker COM file download attempt
5730 – OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt
AMP发布了感染指数告警:

W32.Ransomware.Nyetya.TalosSHA256
哈希值:

027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
为了更好地帮助各行业用户应对后续可能发生的勒索软件攻击变种和升级危机,思科大中华区安全部门在中国大陆推出了勒索软件防护Starter Bundle,整合了目前思科安全Firepower 2110、邮件安全设备C190、AMP高级恶意软件防护等产品,从Web和Email这两个勒索软件最重要的传播途径进行全面防护。

为了更好地帮助各行业用户应对后续可能发生的勒索软件攻击变种和升级危机,思科大中华区安全部门在中国大陆推出了勒索软件防护Starter Bundle,整合了目前思科安全Firepower 2110、邮件安全设备C190、AMP高级恶意软件防护等产品,从Web和Email这两个勒索软件最重要的传播途径进行全面防护。

在此Starter Bundle中,必选组件部分包括:

Firepower 2110 –在互联网出口检测并阻挡恶意勒索软件的进入
邮件安全网关C190 –检测并阻挡恶意勒索软件通过邮件的方式进入网络
AMP End Point–安装在用户的终端的软件,阻挡勒索软件的恶意行为
在此Starter Bundle中,选配组件部分包括:

Stealthwatch–快速发现网络异常,定位受感染的主机
高级安全服务–提供远程漏洞扫描和钓鱼软件模拟攻击测试的高级服务

原文发布时间为:六月 30, 2017
本文作者:aqniu
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/26386.html

相关文章
|
安全 区块链 数据安全/隐私保护
新一波Petya勒索软件来袭!
乌克兰多家银行被迫提前关门,覆盖英国、法国、丹麦、西班牙、挪威以及俄罗斯等多个欧洲国家。
|
云安全 安全 应用服务中间件
威胁快报|首爆新型ibus蠕虫,利用热门漏洞疯狂挖矿牟利
一、背景 近日阿里云安全团队发现了一起利用多个流行漏洞传播的蠕虫事件。黑客首先利用ThinkPHP远程命令执行等多个热门漏洞控制大量主机,并将其中一台“肉鸡”作为蠕虫脚本的下载源。其余受控主机下载并运行此蠕虫脚本后,继续进行大规模漏洞扫描和弱口令爆破攻击,从而实现横向传播。
3367 0
|
云安全 安全 C#
独家技术分析 | 新型勒索病毒Mindlost
1月15日安全研究组织MalwareHunter发现了Mindlost勒索软件的第一批样本。 阿里云安全团队第一时间对该勒索软件进行了技术分析。通过此分析报告希望给业界研究者提供参考依据并为可能受到影响的企业与机构提供安全建议。
3955 0
|
安全 区块链 数据安全/隐私保护
Radware深度解读肆虐全球的WannaCry勒索攻击
本文讲的是Radware深度解读肆虐全球的WannaCry勒索攻击,017年5月12日,勒索软件变体WannaCrypt恶意软件(也作WCry、WannaCry或WanaCrypt0r)在全球范围内爆发,攻击目标是全球范围内的电脑,并成功击垮了全球数十家企业。
1609 0
|
监控 测试技术 数据安全/隐私保护
下一篇
无影云桌面