今日頭條
官方微信
官方抖音
資訊頻道摘要
自2017年5月份經(jīng)歷勒索軟件WannaCry的大規(guī)模爆發(fā)后,思科Talos團(tuán)隊(duì)在6月27日發(fā)現(xiàn)了最新的勒索軟件變種,暫命名為Nyetya。目前已經(jīng)在多個(gè)國(guó)家發(fā)現(xiàn)了這個(gè)勒索軟件的感染事件,思科Talos團(tuán)隊(duì)正在積極分析并不斷更新最新的防護(hù)信息。
勒索軟件Nyetya概述
基于新勒索軟件變種的樣本分析顯示,勒索軟件借助了之前被多次利用的永恒之藍(lán)(EternalBlue)攻擊工具和Windows系統(tǒng)的WMI進(jìn)行傳播。與之前出現(xiàn)的WannaCry不同,此次的變種中沒(méi)有包含外部掃描模塊,而是利用了psexec管理工具在內(nèi)網(wǎng)進(jìn)行傳播。
目前還沒(méi)有完全確定該勒索軟件的傳播源頭和路線(xiàn),基于目前的分析,我們認(rèn)為這個(gè)勒索軟件的傳播和感染,很可能與烏克蘭的一款被稱(chēng)為MeDoc的會(huì)計(jì)管理軟件的升級(jí)更新系統(tǒng)有關(guān)。思科Talos還在持續(xù)分析該勒索軟件的傳播源頭。
思科Talos在今年4月份就發(fā)布了保護(hù)針對(duì)MS17-010攻擊的Snort規(guī)則,對(duì)于此次發(fā)現(xiàn)的變種Talos已經(jīng)將勒索軟件的變種加入到了AMP(Advanced Malware Protection)的黑名單列表中。
勒索軟件Nyetya的主要功能
思科Talos在被勒索軟件感染的系統(tǒng)上,發(fā)現(xiàn)了一個(gè)名為Perfc.dat的文件,該文件的功能是進(jìn)一步感染其他系統(tǒng),它包含了一個(gè)還未被命名的模塊,暫命名為#1,其功能是通過(guò)Windows API AdjustTokenPrivileges獲取當(dāng)前賬號(hào)的管理員權(quán)限,一旦成功,該勒索軟件將重寫(xiě)磁盤(pán)的啟動(dòng)分區(qū)記錄MBR(Master Boot Record)。無(wú)論MBR重寫(xiě)成功與否,在完成感染一小時(shí)后,都將自動(dòng)重啟系統(tǒng)。
在勒索軟件散播過(guò)程中,利用了NetServerEnum遍歷所有可見(jiàn)的主機(jī),然后掃描所有開(kāi)放了TCP 139端口的主機(jī),并將這些主機(jī)加入到易感染主機(jī)列表中。
一旦主機(jī)被感染后,勒索軟件會(huì)使用以下三種方式進(jìn)行傳播:
EternalBlue – 永恒之藍(lán),與WannCry相同的入侵方式。
Psexec – Windows系統(tǒng)自帶的管理工具。
WMI - Windows Management Instrumentation,Windows系統(tǒng)自帶的組件。
以上方式被用于勒索軟件安裝和運(yùn)行perfc.bat程序,進(jìn)一步感染其他內(nèi)網(wǎng)主機(jī)。
利用當(dāng)前用戶(hù)的Window Token信息,在被感染的主機(jī)上psexec被用于運(yùn)行下列指令來(lái)安裝勒索軟件(Talos還在分析獲得Window Token的方式):
利用當(dāng)前賬號(hào)的用戶(hù)名和密碼信息,WMI被用于執(zhí)行下面命令,實(shí)現(xiàn)上述相同的功能(Talos還在分析獲得用戶(hù)的憑證信息的途徑):
思科發(fā)布最新防護(hù)規(guī)則
目前思科已經(jīng)能夠提供對(duì)該勒索軟件防護(hù)的產(chǎn)品包括:
思科NGIPS/Snort Rules提供了下列Snort規(guī)則檢測(cè)該勒索軟件:
42944 - OS-WINDOWS Microsoft Windows SMB remote code execution attempt
42340 - OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt
下列NGIPS/Snort Rules提供感染流量的檢測(cè)告警:
5718 - OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param/Count OS-WINDOWS attempt
1917 - INDICATOR-SCAN UPnP service discover attempt
42231 - FILE-OFFICE RTF url moniker COM file download attempt
5730 - OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt
AMP發(fā)布了感染指數(shù)告警:
W32.Ransomware.Nyetya.Talos
SHA256哈希值:
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
思科勒索軟件防護(hù)促銷(xiāo)包發(fā)布
為了更好地幫助各行業(yè)用戶(hù)應(yīng)對(duì)后續(xù)可能發(fā)生的勒索軟件攻擊變種和升級(jí)危機(jī),思科大中華區(qū)安全部門(mén)在中國(guó)大陸推出了勒索軟件防護(hù)Starter Bundle,整合了目前思科安全Firepower 2110、郵件安全設(shè)備C190、AMP高級(jí)惡意軟件防護(hù)等產(chǎn)品,從Web和Email這兩個(gè)勒索軟件最重要的傳播途徑進(jìn)行全面防護(hù)。
在此Starter Bundle中,必選組件部分包括:
Firepower 2110 --在互聯(lián)網(wǎng)出口檢測(cè)并阻擋惡意勒索軟件的進(jìn)入
郵件安全網(wǎng)關(guān)C190 --檢測(cè)并阻擋惡意勒索軟件通過(guò)郵件的方式進(jìn)入網(wǎng)絡(luò)
AMP End Point--安裝在用戶(hù)的終端的軟件,阻擋勒索軟件的惡意行為
在此Starter Bundle中,選配組件部分包括:
Stealthwatch--快速發(fā)現(xiàn)網(wǎng)絡(luò)異常,定位受感染的主機(jī)
高級(jí)安全服務(wù)--提供遠(yuǎn)程漏洞掃描和釣魚(yú)軟件模擬攻擊測(cè)試的高級(jí)服務(wù)
思科Talos團(tuán)隊(duì)介紹
思科Talos團(tuán)隊(duì)由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專(zhuān)家組成,他們分析評(píng)估黑客活動(dòng)、入侵企圖、惡意軟件以及漏洞的最新趨勢(shì)。ClamAV團(tuán)隊(duì)和一些標(biāo)準(zhǔn)的安全工具書(shū)的作者中最知名的安全專(zhuān)家,都是思科Talos的成員。該團(tuán)隊(duì)的專(zhuān)長(zhǎng)涵蓋軟件開(kāi)發(fā)、逆向工程、漏洞分析、惡意軟件的調(diào)查和情報(bào)收集等。思科Talos團(tuán)隊(duì)同時(shí)也負(fù)責(zé)維護(hù)Snort.org,ClamAV,SenderBase.org和SpamCop中的官方規(guī)則集,同時(shí)得到了社區(qū)的龐大資源支持,使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)。思科Talos作為思科安全情報(bào)的主要發(fā)掘提供團(tuán)隊(duì),為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持,幫助思科的安全解決方案阻擋最新最復(fù)雜的攻擊。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)