今日頭條
官方微信
官方抖音
資訊頻道據外媒 2 日報道,美國國土安全部(DHS)計算機應急響應小組(US-CERT)發布 Petya 勒索軟件最新變體預警(TA17-181A), 提醒組織機構盡快對軟件進行升級,避免使用不支持的應用與操作系統。
美國國土安全部下屬網絡安全與通信整合中心(NCCIC)代碼分析團隊輸出一份《惡意軟件初步調查報告》(MIFR),對惡意軟件進行了深度技術分析。在公私有部門合作伙伴的協助下,NCCIC 還以逗號分隔值形式提供用于信息分享的輸入/出控制系統(IOC)”。
此份預警報告的分析范圍僅限曝光于 2017 年 6 月 27 日的 Petya 最新變體,此外還涉及初始感染與傳播的多種方法,包括如何在 SMB 中進行漏洞利用等。漏洞存在于 SMBv1 服務器對某些請求的處理過程,即遠程攻擊者可以通過向SMBv1服務器發送特制消息實現代碼執行。
US-CERT 專家在分析 Petya 勒索軟件最新樣本后發現,該變體使用動態生成的 128 位秘鑰加密受害者文件并為受害者創建唯一 ID。專家在加密秘鑰生成與受害者 ID 之間尚未找到任何聯系。
“盡管如此,仍無法證明加密秘鑰與受害者 ID 之間存在任何關系,這意味著即便支付贖金也可能無法解密文件”。
“此 Petya 變體通過 MS17-010 SMB 漏洞以及竊取用戶 Windows 登錄憑據的方式傳播。值得注意的是,Petya 變體可用于安裝獲取用戶登錄憑據的 Mimikatz 工具。竊取的登錄憑據可用于訪問網絡上的其他系統”。
US-CERT 分析的樣本還通過檢查被入侵系統的 IP 物理地址映像表嘗試識別網絡上的其他主機。Petya 變體在 C 盤上寫入含有比特幣錢包地址與 RSA 秘鑰的文本文件。惡意代碼對主引導記錄(MBR)進行修改,啟用主文件表(MFT)與初始 MBR 的加密功能并重啟系統、替換 MBR。
“從采用的加密方法來看,即便攻擊者收到受害者ID也不大可能恢復文件。”
US-CERT建議組織機構遵循 SMB 相關最佳實踐,例如:
1、禁用 SMBv1。
2、使用 UDP 端口 137-138 與 TCP 端口 139 上的所有相關協議阻止 TCP 端口 445,進而阻攔所有邊界設備上的所有 SMB 版本。
“ US-CERT 提醒用戶與網絡管理員禁用 SMB 或阻止 SMB 可能因阻礙共享文件、數據或設備訪問產生一系列問題,應將緩解措施具備的優勢與潛在問題同時納入考慮范疇”。
以下是預警報告中提供的防范建議完整列表:
1、采用微軟于 2015 年 3 月 14 日發布的補丁修復 MS17-010 SMB 漏洞。
2、啟用惡意軟件過濾器防止網絡釣魚電子郵件抵達終端用戶,使用發送方策略框架(SPF)、域消息身份認證報告與一致性(DMARC)、DomainKey 郵件識別(DKIM)等技術防止電子郵件欺騙。
3、通過掃描所有傳入/出電子郵件檢測威脅,防止可執行文件抵達終端用戶。
4、確保殺毒軟件與防病毒解決方案設置為自動進行常規掃描。
5、管理特權賬戶的使用。不得為用戶分配管理員權限,除非有絕對需要。具有管理員賬戶需求的用戶僅能在必要時使用。
6、配置具有最少權限的訪問控制,包括文件、目錄、網絡共享權限。如果用戶僅需讀取具體文件,就不應具備寫入這些文件、目錄或共享文件的權限。
7、禁用通過電子郵件傳輸的微軟 Office 宏腳本。考慮使用 Office Viewer 軟件代替完整的 Office 套件應用程序打開通過電子郵件傳輸的微軟 Office 文件。
8、制定、研究并實施員工培訓計劃以識別欺詐、惡意鏈接與社工企圖。
9、每年至少對網絡運行一次定期滲透測試。在理想情況下,盡可能進行多次測試。
10、利用基于主機的防火墻并阻止工作站間通信。
北京市公安局海淀分局備案號:11010802023656號