当前位置:安全客 >> 内参详情

Petya0627勒索病毒安全预警通告(第四次更新)

2017-06-28 20:30:14 阅读:6541次

http://p9.qhimg.com/t0122eb6f1886006f65.jpg

6月27日晚,据外媒消息,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇了Petya0627勒索病毒袭击,政府、银行、电力系统、通讯系统等都不同程度地受到了影响。Petya0627勒索病毒传播时利用的漏洞和WannaCry相同,同时还具备其他网络感染手段。由于该病毒是定向投递,所以欧洲感染较多。目前国内感染量较少,但是考虑到其定向性,未来存在较高风险在国内传播。360天擎(企业版)和360安全卫士(个人版)均可以防御和查杀该病毒。


据悉,该病毒和普通勒索软件有一些区别,除了加密文件索要赎金之外还会对文件系统进行破坏,造成操作系统无法使用。该样本在攻击时不仅使用了永恒之蓝勒索漏洞,还会试图获取系统用户名与密码登录到其他终端进行内网传播。360安全监测与响应中心也将持续关注该事件进展,并第一时间为您更新该漏洞信息。


第1章  事件信息


1.1 事件描述

Petya0627和传统的勒索软件不同,除了对电脑中特定后缀的文件进行加密外,还会通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名,大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动。如果想要恢复,需要支付价值相当于300美元的比特币。

被感染的机器屏幕会显示如下的告知付赎金的界面:

http://p4.qhimg.com/t011439a6872793149c.png


1.2 风险等级

360安全监测与响应中心预警级别为:黄色预警

基于本次敲诈勒索病毒的定向性特点,经过24小时观察,中国国内机构感染数量较低,因此将本次预警级别从橙色下调为黄色。

请各位用户注意关注防垃圾邮件网关等设备,是否存在被拦截的可疑邮件,如果存在请及时与我们取得联系。

另外由于本次攻击很可能是由软件供应链导致,建议各位用户在企业网络更新软件时进行严格审查。

360监测与响应中心将继续对此事件保持关注,进入持续监控与分析阶段。


1.3 影响范围

传播途径一:本地网络传播

1、该样本会尝试通过多种方法获取本地的登陆凭证(账号和密码),包括读取内存中的登陆凭证以及保存的远程桌面凭证。

2、该样本会利用多种方式获取本地网络中活动的主机IP,包括但不限于获取自动分配地址及域内相关主机。

3、该样本利用获取到的登陆凭证,尝试使用psexec(微软提供的远程程序执行工具)或者wmi(Windows操作系统内置的管理接口)进行本地网络传播,尝试复制自身到局域网内其他机器并执行。

传播途径二:SMB漏洞

由于本次Petya0627勒索病毒传播使用永恒之蓝、永恒浪漫两个漏洞,受相关漏洞影响的系统均在该病毒威胁范围之内。使用开源(OpenVAS)或商业漏洞扫描工具检查内网,发现所有开放445 SMB服务端口的被认定存在漏洞终端和服务器,对于Win7及以上版本的系统确认是否安装了MS17-010补丁,如没有安装则受威胁影响;Win7以下的Windows XP/2003如果没有安装KB4012598补丁,则也受漏洞的影响。


第2章  处置建议


2.1 安全操作提示

从目前掌握的情况来看:

1. 有情报显示该样本有可能通过邮件方式投递,具体特征正在确认中,请大家不要轻易打开doc、rtf等后缀的附件。

2. 有情报显示该样本可能与一家乌克兰公司(MEDoc)有关,攻击者通过该公司开发的税务软件的升级通道投递攻击样本,属于典型的软件供应链攻击,此类攻击在近期多起网络安全事件中均有发现,建议大家在内网软件更新上进行严格的审查工作。

3. 及时更新windows系统补丁,具体修复方案请参考“永恒之蓝”漏洞修复工具。

4. 内网中存在使用相同账号、密码情况的机器请尽快修改密码,此种情况在广泛使用Ghost的机构当中较为常见,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。


2.2 防护方案

360天擎一体化终端安全管理系统防护措施

360天擎产品可以针对Petya勒索病毒进行有效的防御,针对于互联网用户、隔离网用户的解决方案分别如下:

1. 互联网用户方案:

查看天擎控制中心,云查杀策略设置为连接360云安全鉴定,无需任何操作,360天擎即可针对本次攻击进行防御,参考截图:

http://p2.qhimg.com/t011beecaf91f171d67.jpg

查看天擎控制中心,云查杀策略设置为代理连接360云安全鉴定的客户,同样无需任何操作,360天擎即可防御本次攻击,参考截图:

 http://p4.qhimg.com/t013b22f74ea1d43307.jpg


2. 用户方案:

1) 隔离网用户使用天擎离线升级工具对于天擎控制中心病毒特征库版本进行升级, 离线升级工具在下载地址和说明参考截图:

http://p1.qhimg.com/t01db2abc120e3acd9e.png 

2) 通过离线升级工具将天擎控制中心病毒库版本升级至2017-06-28日,同时对于天擎终端进行病毒特征库更新,更新后可以直接对于Petya勒索病毒进行查杀,参考截图如下:

http://p7.qhimg.com/t01bdb28e67652c26cb.jpg

客户端病毒特征库参考截图如下:

 http://p9.qhimg.com/t0197c34e6f9bd9591e.png

3) 安装漏洞补丁, 此次对于病毒传播方式还是基于“永恒之蓝”攻击的系统漏洞,

先检查天擎补丁库版本,在右上角点击补丁库即可检查补丁库更新,确保补丁库升级到 1.0.1.2825 版本或更新版本,该补丁库包含微软最新提供的支持 XP、2003 和 win8 专供的高危漏洞。控制台补丁库更新成功后终端会立即进行终端补丁库的更新。 

 http://p8.qhimg.com/t01bbb366e5a928917f.png

漏洞管理界面,选择全网终端进行扫描。在线终端会上报终端的高危漏洞展示。 

 http://p3.qhimg.com/t011bd5556facddb2e6.png

控制台上可以看到终端扫描的漏洞信息:【终端管理-漏洞管理-按漏洞显示】可以看到发布日期中有 3 月 4 月和 5 月的更新补丁信息。可以通过顶端搜索补丁号后对高危漏洞进行选中修复。 

该页面中显示未修复的终端数和已修复的终端数,勾选后点击修复则对未修复终端数进行修复。 

 http://p7.qhimg.com/t0195b34ee27d6d851d.jpg

点击已忽略的终端数,弹窗显示已忽略的终端,全选后取消忽略。对于用户手动忽略该漏洞的终端将重新在漏洞界面显示可修复。 

 http://p3.qhimg.com/t0176bed9ca399a6391.jpg

在终端上验证:终端可以扫描到 3 月 、4 月、 5 月的漏洞信息,选择修复即可。 

或者通过补丁管理界面可以搜索补丁号,确保需要修复的补丁都在已安装的补丁中。 

http://p9.qhimg.com/t01eeb4e69a4833d14b.jpg


3. 对于感染Patya勒索病毒终端的统计:

更新到2017-06-28病毒版本后通过控制中心对于全网终端进行扫描,360天擎终端针对于Petya勒索病毒查杀的命名Trojan.win32.RansomPetya.或Ransom.win32.Petya,扫描结束可以在天擎控制中心查看内网终端是否感染Petya勒索病毒和处理结果,参考截图如下:

 http://p9.qhimg.com/t01dd9114818c08e68b.jpg

终端查杀Patya勒索病毒截图如下:

 http://p3.qhimg.com/t01d7d93277a545b259.png


360天眼未知威胁感知系统流量探针检测

1. 360天眼未知威胁感知系统的流量探针在2017年4月已经加入了对MS17-010远程代码执行漏洞(包含“永恒之蓝”、“永恒浪漫”)的检测,请至“规则配置”->“网络攻击”页面,确认规则是否已经启用,默认是启用的。

 http://p8.qhimg.com/t0124015e75ad70c538.png

360天眼未知威胁感知系统早在4月份已经加入了对应漏洞的检测,并于近日对该规则进行了更新。请至“系统配置”->”设备升级”->”规则升级”,升级至规则版本(或以上):3.0.0628.10489。

2. 天眼文件威胁鉴定器(沙箱)无需升级,即可对邮件传播的恶意文件进行查杀。

 http://p9.qhimg.com/t01052d7071d6e7049e.png

3. 360天眼(魔镜)临检版处置建议:

1)在告警页签中查看端口命中445,则与该IP负责人联系,确认是否曾在10分钟内访问了超过10个打印机或共享服务器。

 http://p3.qhimg.com/t01a006f0a520c91cf9.png

2)在首页事件中查看高危事件,查看其标签匹配到【PETYA变种勒索下载】,则与该IP负责人联系,是否曾经访问过相关网站。

 http://p5.qhimg.com/t01f8be055c11def695.png

3)在首页事件中查看高危事件,查看其标签匹配到【TOR连接】,与该IP负责人联系,确认是否使用tor网络进行翻墙。

 http://p1.qhimg.com/t0105725273bdd05eff.jpg


2.3 缓解措施

针对未安装360产品的用户,可采取如下缓解措施进行防御

1. 安装免疫工具

360企业安全天擎团队第一时间推出Petya0627勒索病毒的免疫工具,可阻止已知病毒的加密和传播等恶意行为。

免疫工具下载地址:http://b.360.cn/other/petya0627

使用方法:解压下载文件,双击运行 AntiPetya.exe(win7 及 win7 以上操作系统需要右键以管理员身份运行), 出现如下弹框表示已经免疫成功。

 http://p9.qhimg.com/t018d1ee339f3f3ea95.png

勒索免疫工具的原理是在windows路径下增加占位文件,利用此勒索软件检测到占位文件时自动退出的特性进行免疫。此免疫机制不占用内存资源,不常驻进程,仅在磁盘上留下3个小文件,对系统的运行没有负面影响。

2. 使用“Petya勒索病毒修复工具”

推荐使用 360 企业安全提供的“Petya勒索病毒修复工具”,该修复工具集创建免疫文件、关闭SMB服务、关闭admin$共享和检测与修复各系统下MS17-010漏洞于一体,修复相关漏洞并关闭相关风险,以避免遭到勒索病毒的侵害。修复工具下载:http://b.360.cn/other/onionwormfix

 http://p8.qhimg.com/t0145112a4f74a522a9.jpg

3. 加强对内部服务器和终端密码的管理,避免多台终端使用相同密码。

4. 内网屏蔽非必要来源的入站445和135端口请求。

5. 建议安装360天擎终端安全软件,更新到最新病毒特征库。


第3章  技术分析


Petya0627样本分析

样本文件列表

http://p0.qhimg.com/t0105666a1c0df6628d.png

病毒功能分析

样本(MD5:71b6a493388e7d0b40c83ce903bc6b04)为病毒的主要功能模块,该文件为仅有一个名为perfc_1导出函数的DLL文件,此函数为病毒执行起点。执行后进行如下操作:

1)替换系统MBR

首先病毒以物理方式打开硬盘:

 http://p1.qhimg.com/t0123d3cb1943d1bd30.png

读取原始分区信息:

 http://p0.qhimg.com/t01385e05336250d526.png

读取原始MBR:

 http://p1.qhimg.com/t019501a4bc632dda7b.png

然后将原始mbr加密保存,加密方式为与7异或运算。

 http://p2.qhimg.com/t01ef0caf586ee4c813.png

然后分配200字节给病毒的mbr数据,然后将病毒的mbr写入缓存区:

 http://p4.qhimg.com/t01d84470fcbd3c97bb.png

MBR入口代码:

 http://p2.qhimg.com/t0123046a93492d8b62.png

再分配22b1字节给引导区代码,将病毒的引导区代码写入缓存:

 http://p1.qhimg.com/t0167b0e532c4851408.png

引导区代码如下:

 http://p0.qhimg.com/t019f5bf9d34cb644eb.png

最后把缓存区数据写入磁盘

 http://p4.qhimg.com/t01163620354e93d8db.png


2)创建重启计划任务

病毒根据自身运行TickCount计算一个时间差,在这段时间差后采用计划任务的方式执行重启操作:

 http://p8.qhimg.com/t011adddef9566d3d32.png

机器重启后控制权被改写后的MBR代码接管,伪造的MBR代码加密MFT,并阻止系统正常启动,提示用户支付赎金。


3)网络嗅探

病毒使用DHCP系列API遍历DHCP池中内网地址

http://p9.qhimg.com/t01999f4d09c513613b.png 

并通过Socket尝试建立连接判断地址是否可以联通:

 http://p7.qhimg.com/t0176c008518d268bd9.png

病毒还使用NetServerEnum API遍历域控环境内的域控服务器:

 http://p5.qhimg.com/t017900cf3e24fe4adb.png

通过此过程初步嗅探感染主机的内网环境,生成可感染内网主机列表,为下一步局域网感染做准备。


4)释放并执行Mimikatz

病毒解压缩ID为0的资源文件,写入临时目录,释放的文件为exe,该文件为Mimikatz代码移植而来,主要功能不变。病毒在执行该exe前创建命名管道,通过管道读取子进程数据输出:

http://p4.qhimg.com/t017f296952f9448f4f.png

http://p4.qhimg.com/t01ea5e934983bdc01a.png

 

5)释放Psexec

病毒紧接着解压缩ID为3的资源文件,写入Windows目录,命名为dllhost.dat,该文件位PsExec.exe:

 http://p6.qhimg.com/t017e32715f6957fe62.png


6)枚举网络资源

病毒通过WNet系列API枚举网络资源,并使用CreadEnumerate API遍历系统保存的凭据,过滤类型位“TERMSRV”的凭据加入本地字典:

 http://p4.qhimg.com/t01151bbc769de68460.png

并使用此账号密码列表尝试访问之前的网络WebDav资源,并尝试写入自身:

 http://p1.qhimg.com/t01c54a0c6301626ff5.png

 http://p9.qhimg.com/t01f37dcfcdd57919ce.png


随后构造命令行:

C:\Windows\Wbem\wmic.exe /node:<NodeName> /user:<UserName> /password:<Password> process call create “C:\Windows\System32\rundll32.exe C:\windows\<SelfName> #1

该命令使用上步尝试成功的口令远程对名为NodeName的主机执行命令,该命令使用rundll32加载自身dll,执行入口导出函数,完成局域网的感染:

 http://p1.qhimg.com/t01ab070e4ac7e840e8.png


7)永恒之蓝传播

病毒随后开启线程进入利用永恒之蓝漏洞传播代码,病毒使用伪随机算法生成IP:

http://p2.qhimg.com/t01365b79e65b01fae9.png

 


随后使用EternalBlue漏洞进行自身传播,此样本与Wannacry漏洞利用代码基本一致,不一样的地方在于,使用简单异或算法加密过程中用到的特征数据,减少特征数据。


8)本地文件加密勒索

紧接着病毒使用内嵌证书解密勒索功能配置,并初始化必要算法句柄后开始进入磁盘文件遍历循环,遇到指定后缀文件后开始加密:

 http://p2.qhimg.com/t01cb6d037cf40fc6b3.png

 http://p0.qhimg.com/t0160b321ba7f4c6e89.png

加密完成后在分区根目录写README.txt说明文档:

http://p4.qhimg.com/t011194a823b38fd384.png


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/183.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
无任何评论