us-cert 发布 petya 最新变体预警及应对措施
2017-07-04 09:17:10
据外媒 2 日报道,美国国土安全部(dhs)计算机应急响应小组(us-cert)发布 petya 勒索软件最新变体预警(ta17-181a), 提醒组织机构尽快对软件进行升级,避免使用不支持的应用与操作系统。
美国国土安全部下属网络安全与通信整合中心(nccic)代码分析团队输出一份《恶意软件初步调查报告》(mifr),对恶意软件进行了深度技术分析。在公私有部门凯发娱乐的合作伙伴的协助下,nccic 还以逗号分隔值形式提供用于信息分享的输入/出控制系统(ioc)”。
此份预警报告的分析范围仅限曝光于 2017 年 6 月 27 日的 petya 最新变体,此外还涉及初始感染与传播的多种方法,包括如何在 smb 中进行漏洞利用等。漏洞存在于 smbv1 服务器对某些请求的处理过程,即远程攻击者可以通过向smbv1服务器发送特制消息实现代码执行。
us-cert 专家在分析 petya 勒索软件最新样本后发现,该变体使用动态生成的 128 位秘钥加密受害者文件并为受害者创建唯一 id。专家在加密秘钥生成与受害者 id 之间尚未找到任何联系。
“尽管如此,仍无法证明加密秘钥与受害者 id 之间存在任何关系,这意味着即便支付赎金也可能无法解密文件”。
“此 petya 变体通过 ms17-010 smb 漏洞以及窃取用户 windows 登录凭据的方式传播。值得注意的是,petya 变体可用于安装获取用户登录凭据的 mimikatz 工具。窃取的登录凭据可用于访问网络上的其他系统”。
us-cert 分析的样本还通过检查被入侵系统的 ip 物理地址映像表尝试识别网络上的其他主机。petya 变体在 c 盘上写入含有比特币钱包地址与 rsa 秘钥的文本文件。恶意代码对主引导记录(mbr)进行修改,启用主文件表(mft)与初始 mbr 的加密功能并重启系统、替换 mbr。
“从采用的加密方法来看,即便攻击者收到受害者id也不大可能恢复文件。”
us-cert建议组织机构遵循 smb 相关最佳实践,例如:
• 禁用 smbv1
• 使用 udp 端口 137-138 与 tcp 端口 139 上的所有相关协议阻止 tcp 端口 445,进而阻拦所有边界设备上的所有 smb 版本。“ us-cert 提醒用户与网络管理员禁用 smb 或阻止 smb 可能因阻碍共享文件、数据或设备访问产生一系列问题,应将缓解措施具备的优势与潜在问题同时纳入考虑范畴”。
以下是预警报告中提供的防范建议完整列表:
• 采用微软于 2015 年 3 月 14 日发布的补丁修复 ms17-010 smb 漏洞。
• 启用恶意软件过滤器防止网络钓鱼电子邮件抵达终端用户,使用发送方策略框架(spf)、域消息身份认证报告与一致性(dmarc)、domainkey 邮件识别(dkim)等技术防止电子邮件欺骗。
• 通过扫描所有传入/出电子邮件检测威胁,防止可执行文件抵达终端用户。
• 确保杀毒软件与防病毒凯发娱乐的解决方案设置为自动进行常规扫描。
• 管理特权账户的使用。不得为用户分配管理员权限,除非有绝对需要。具有管理员账户需求的用户仅能在必要时使用。
• 配置具有最少权限的访问控制,包括文件、目录、网络共享权限。如果用户仅需读取具体文件,就不应具备写入这些文件、目录或共享文件的权限。
• 禁用通过电子邮件传输的微软 office 宏脚本。考虑使用 office viewer 软件代替完整的 office 套件应用程序打开通过电子邮件传输的微软 office 文件。
• 制定、研究并实施员工培训计划以识别欺诈、恶意链接与社工企图。
• 每年至少对网络运行一次定期渗透测试。在理想情况下,尽可能进行多次测试。
• 利用基于主机的防火墙并阻止工作站间通信。
官方微信