企業(yè)受到攻擊數(shù)量最多的國家(Top 20)
與WannaCry 勒索病毒類似,Petya同樣利用“永恒之藍(lán)”漏洞進(jìn)行傳播。但除此之外,Petya還使用了傳統(tǒng)SMB網(wǎng)絡(luò)傳播技術(shù),這意味著即便企業(yè)已經(jīng)安裝“永恒之藍(lán)”補(bǔ)丁,Petya依然能夠在企業(yè)內(nèi)部進(jìn)行傳播。
初始感染方式
賽門鐵克已經(jīng)證實(shí),網(wǎng)絡(luò)攻擊者在最初Petya入侵企業(yè)網(wǎng)絡(luò)的過程中,使用了MEDoc。MeDoc是一種稅務(wù)和會計(jì)軟件包,該工具在烏克蘭被廣泛使用,這也表明,烏克蘭企業(yè)是攻擊者此次攻擊的主要目標(biāo)。
在獲得最初的立足點(diǎn)后,Petya便開始利用不同方式在整個(gè)企業(yè)網(wǎng)絡(luò)中進(jìn)行傳播。
傳播和橫向傳播
- Petya是一種蠕蟲病毒,該病毒能夠通過建立目標(biāo)計(jì)算機(jī)列表,并使用兩種方法在計(jì)算機(jī)中實(shí)現(xiàn)自傳播。
- IP地址和認(rèn)證信息收集
Petya通過建立包含本地局域網(wǎng)(LAN)中的主要地址與遠(yuǎn)程IP在內(nèi)的IP地址列表來進(jìn)行傳播。完整列表包括以下內(nèi)容:
- 所有網(wǎng)絡(luò)適配器的IP地址和DHCP服務(wù)器
- DHCP服務(wù)器的所有DHCP客戶端(在端口445/139開啟的情況下)
- 子網(wǎng)掩碼中的所有IP地址(在端口445/139開啟的情況下)
- 當(dāng)前連接開放式網(wǎng)絡(luò)的所有計(jì)算機(jī)
- ARP緩存中的所有計(jì)算機(jī)
- 活動(dòng)目錄中的所有資源
- 網(wǎng)上鄰居中的所有服務(wù)器和工作站資源
- Windows憑據(jù)管理器中的所有資源(包括遠(yuǎn)程桌面終端服務(wù)計(jì)算機(jī))
一旦確定目標(biāo)計(jì)算機(jī)列表,Petya將列出一份用戶名和密碼列表,并通過該列表向目標(biāo)計(jì)算機(jī)進(jìn)行傳播。用戶名和密碼列表會保存在內(nèi)存中。Petya收集認(rèn)證信息有兩種方式:
- 在Windows憑據(jù)管理器中收集用戶名和密碼
- 投放并執(zhí)行一個(gè)32位或64位的認(rèn)證信息轉(zhuǎn)儲器
橫向傳播
Petya實(shí)現(xiàn)網(wǎng)絡(luò)傳播的主要方式有兩種:
- 在網(wǎng)絡(luò)共享里實(shí)現(xiàn)傳播:Petya通過使用獲取的認(rèn)證信息,自行復(fù)制到[COMPUTER NAME]\\admin$,從而向目標(biāo)計(jì)算機(jī)傳播。之后,該病毒會使用PsExec或Windows管理規(guī)范命令行 (WMIC) 工具遠(yuǎn)程實(shí)現(xiàn)傳播。上述所提到的兩種工具均是合法工具。
- SMB漏洞:Petya使用“永恒之藍(lán)”和“永恒浪漫”這兩種漏洞的變體進(jìn)行傳播。
初始感染和安裝
Petya起初會通過rundll32.exe加以執(zhí)行,并使用以下指令:
- rundll32.exe perfc.dat, #1
一旦動(dòng)態(tài)鏈接庫(DLL)開始加載,該程序會首先嘗試將自己從受感染系統(tǒng)中移除。在最后將文件從磁盤中刪除之前,它會打開此文件并用空字符覆蓋文件內(nèi)容,目的是阻止用戶通過取證技術(shù)來恢復(fù)文件。
隨后,該程序?qū)⒃噲D創(chuàng)建以下文件,用于標(biāo)記已受感染的計(jì)算機(jī):
- C:\Windows\perfc
MBR感染和加密
Petya在安裝完成后,會修改主引導(dǎo)記錄(MBR),使該病毒能夠在系統(tǒng)重啟時(shí),劫持受感染計(jì)算機(jī)的正常加載過程。受到修改后的MBR可用來加密硬盤,并同時(shí)模擬磁盤檢查(CHKDSK)界面,該界面隨后將向用戶顯示勒索信息。
如果此病毒由普通用戶執(zhí)行,則MBR修改將不會成功,但該病毒依然會試圖通過網(wǎng)絡(luò)進(jìn)行傳播。
此時(shí),系統(tǒng)將使用以下命令準(zhǔn)備重啟:
- "/c at 00:49 C:\Windows\system32\shutdown.exe /r /f"
由于是準(zhǔn)備重啟而不是強(qiáng)制重啟,因此在用戶模式加密開始之前,Petya有足夠的時(shí)間向網(wǎng)絡(luò)中的其他計(jì)算機(jī)傳播。
文件加密
Petya有2種加密文件的方式
- 在Petya傳播至其他計(jì)算機(jī)之后,用戶模式加密將會發(fā)生,磁盤中帶有特定擴(kuò)展名的文件遭到加密。
- MBR受到修改,并加入定制加載器,用于加載CHKDSK模擬器。該模擬器的目的在于隱藏磁盤加密行為。上述活動(dòng)會在用戶模式加密發(fā)生后完成,因此,這種加密采用了雙重加密:用戶模式加密和全磁盤加密。
用戶模式加密
Petya一旦實(shí)現(xiàn)傳播,便會列出固定磁盤(如 C:\)上的所有文件,并跳過該磁盤中的%Windir%目錄,檢查以下所有文件擴(kuò)展名:
- 3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc.docx.dwg.eml.fdb.gz.h.hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
每個(gè)磁盤將生成一個(gè)128位的AES密鑰。如果搜到與上述列表相匹配的文件擴(kuò)展名,則該惡意軟件將使用生成的密鑰對文件的最初1MB內(nèi)容進(jìn)行加密。
在對所有符合條件的文件加密后,該惡意軟件將生成勒索信息,并將該信息寫入當(dāng)前磁盤的 “README.TXT”文件中。
隨后,生成的AES密鑰將通過嵌入的公開密鑰進(jìn)行自我加密。
最終加密的二進(jìn)制大對象(blob)會作為Base64編碼串附于勒索信息(README.TXT)的最后。勒索信息將此作為“安裝密鑰”。
生成的密鑰之后會遭到銷毀,以確保其無法通過內(nèi)存恢復(fù)。
此時(shí),系統(tǒng)將重新啟動(dòng),而經(jīng)過修改的MBR代碼將加載模擬CHKDSK界面,并開始全盤加密。
常見問題解答
企業(yè)能否抵御Petya勒索軟件攻擊?
Symantec Endpoint Protection(SEP)解決方案和諾頓產(chǎn)品能夠主動(dòng)幫助用戶抵御Petya勒索軟件利用 “永恒之藍(lán)” 漏洞進(jìn)行傳播。此外,賽門鐵克SONAR行為檢測技術(shù)同樣能夠主動(dòng)防御Petya感染
使用定義版本20170627.009的賽門鐵克產(chǎn)品同樣能夠檢測出Petya組件Ransom.Petya <https://www.symantec.com/security_response/writeup.jsp?docid=2016-032913-4222-99>。
Petya是什么?
2016年,Petya病毒便已出現(xiàn)。與典型的勒索軟件不同,Petya不只會加密文件,還會對主引導(dǎo)記錄(MBR)進(jìn)行覆蓋和加密。
在此次攻擊事件中,受感染計(jì)算機(jī)顯示了以下勒索信息,要求受害者以比特幣形式支付300美元以恢復(fù)文件:
受Petya勒索軟件感染的計(jì)算機(jī)所顯示的勒索信息,攻擊者向受害者索要價(jià)值300美元的比特幣以贖回加密文件
Petya的傳播和感染方式?
MEDoc會計(jì)軟件用以在企業(yè)網(wǎng)絡(luò)中投放和安裝Petya勒索軟件。在進(jìn)入企業(yè)網(wǎng)絡(luò)后,該勒索軟件會使用兩種方式進(jìn)行傳播。
其中一種傳播方式:Petya會利用MS17-010 <https://technet.microsoft.com/en-us/library/security/ms17-010.aspx>漏洞(也稱為“永恒之藍(lán)”)實(shí)現(xiàn)傳播。此外,Petya還會通過獲取用戶名和密碼,在網(wǎng)絡(luò)共享文件中進(jìn)行傳播。
影響范圍?
受到Petya影響最大的是位于歐洲的企業(yè)與機(jī)構(gòu)。
針對性攻擊?
目前尚不清楚此次攻擊是否為針對性攻擊,但該病毒的最初傳播所使用的軟件只有在烏克蘭才能使用,這表明烏克蘭的企業(yè)是網(wǎng)絡(luò)攻擊者的最初目標(biāo)。
支付贖金?
賽門鐵克建議用戶切勿支付贖金。目前沒有證據(jù)表明,加密文件能夠在支付贖金后得以恢復(fù)。
賽門鐵克安全保護(hù)
網(wǎng)絡(luò)保護(hù)
為了保護(hù)用戶免受上述攻擊,賽門鐵克采取了以下IPS保護(hù),以幫助用戶抵御攻擊:
- 操作系統(tǒng)攻擊:微軟SMB MS17-010 披露嘗試 <https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=23875>(2017年5月2日發(fā)布)
- 攻擊:惡意代碼下載活動(dòng) <https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=23737>(2017年4月24日發(fā)布)
- 攻擊:SMB Double Pulsar Ping <https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=21331>
- 網(wǎng)頁攻擊:惡意代碼下載活動(dòng) 4 <https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28338>
反病毒
- Ransom.Petya
- Ransom.Petya!g1 <https://www.symantec.com/security_response/writeup.jsp?docid=2017-062809-4521-99>
SONAR行為檢測技術(shù)
- SONAR.Module!gen3 <http://securityresponse.symantec.com/security_response/detected_writeup.jsp?name=SONAR.Module!gen3&vid=4294920985>
Skeptic技術(shù)
- Trojan.gen <https://www.symantec.com/security_response/writeup.jsp?docid=2010-022501-5526-99>
賽門鐵克正在密切關(guān)注此次威脅,并對其進(jìn)行分析,我們將及時(shí)發(fā)布更多相關(guān)信息。
關(guān)于賽門鐵克:
賽門鐵克公司(納斯達(dá)克:SYMC)是全球領(lǐng)先的網(wǎng)絡(luò)安全企業(yè),旨在幫助個(gè)人、企業(yè)和政府機(jī)構(gòu)保護(hù)無處不在的重要數(shù)據(jù)安全。全球企業(yè)都青睞選用賽門鐵克的戰(zhàn)略性集成式解決方案,在端點(diǎn)、云和基礎(chǔ)架構(gòu)抵御復(fù)雜攻擊。同時(shí),全球 5000 多萬的個(gè)人和家庭也在使用賽門鐵克的 Norton 和 LifeLock 產(chǎn)品,保護(hù)家庭各類聯(lián)網(wǎng)設(shè)備安全,暢享無憂數(shù)字生活。賽門鐵克經(jīng)營在全球規(guī)模數(shù)一數(shù)二的威脅情報(bào)網(wǎng)絡(luò),能夠發(fā)現(xiàn)和抵御最高級威脅!