新闻快讯
< >

美国US-CERT发布Petya警告及应对措施

E安全7月4日讯 当地时间7月1日,美国国土安全部(DHS)计算机应急预备小组(US-CERT)发布Petya新变种勒索软件警告(TA17-181A)。

计算机应急预备小组敦促组织机构升级软件,避免使用不支持的应用程序和操作系统。

计算机应急预备小组证实称,收到了多份有关最近Petya勒索软件感染的报告。这款勒索软件利用“永恒之蓝”漏洞利用M2 MS17-010,利用服务器信息块(SMB)中的漏洞使设备无法使用。

Petya勒索软件分析报告

CERT在警告中指出,国家网络安全与通信集成中心(NCCIC)代码分析小组提供了一份恶意软件初始结果报告(MIFR),对这款恶意软件进行了深度技术分析。此外,NCCIC与公共和私有部门的合作伙伴合作,提供了其它攻击指示器(IOC)信息。

美国US-CERT发布Petya警告及应对措施-E安全

初始结果报告和IOC信息如下:

  • MIFR-10130295.pdf

  • TA-17-181A_IOCs.csv

这份警告指出,警告分析的范围仅限于2017年6月27浮现的新Petya变种,这款恶意软件在警告中被称为Petya。基于初步报告,Petya在初期感染中使用了多种方法和传播手段,包括利用SMB中的漏洞。

SMBv1服务器在处理特定的需求方面存在该漏洞,因此允许攻击者向SMBv1服务器发送特制信息,从而远程执行代码。

计算机应急预备小组的专家分析了最近这个Petya勒索软件的样本后发现,该变种通过动态生成的128位密钥加密受害者的文件,并为受害者创建唯一ID。专家未发现加密密钥生成与受害者ID之间的关联。警告指出,没有证据证明加密密钥与受害者ID之间存在关联,这就意味着,即使受害者支付赎金,攻击者也可能无法解密受害者的文件。

这个Petya变种使用SMB漏洞,并窃取用户的Windows登录凭证进行传播。值得注意的是,这款Petya变种会安装修改版的Mimikatz工具,该工具能被用来获取用户的登录凭证。被窃的登录凭证能被用来访问网络上的其它系统。

计算机应急预备小组分析的样本还设法检查被感染系统的IP物理地址映射表,以此识别网络上的其它主机。

这款Petya变种在C:\盘中创建文本文件,其中包含比特币钱包地址以及赎金支付的RSA密钥。恶意代码会修改主引导记录(MBR),从而启动主文件表(MFT)和MBR的加密,之后重启系统替换MBR。

基于该变种使用的加密方法,即使攻击者收到受害者的唯一ID可能也无法恢复文件。

建议

计算机应急预备小组建议组织机构执行以下有关SMB的步骤:

  • 禁用SMBv1

  • 阻止TCP端口445、UDP端口137-138以及TCP端口139上的相关协议,从而阻止边界设备在网络边界的所有SMB版本。

计算机应急预备小组警告用户和管理员,阻止或禁用SMB可能会无法访问共享文件、数据或设备。应当权衡缓解措施,降低对用户的潜在影响。

计算机应急预备小组提供的对策如下:

  • 安装微软3月14日发布的MS17-010 SMB漏洞补丁(点击查看)

  • 启用强大的垃圾邮件过滤器,防止网络钓鱼电子邮件到达终端用户,同时,使用发送者政策框架(SPF)、域名信息验证、部署DMARC邮件验证,并对发出的邮件内容进行签名(DKIM)等技术验证入站电子邮件,防止电子邮件欺骗行为。

  • 扫描所有接收和发出的电子邮件,以检测威胁,并过滤可执行文件到达终端用户。

  • 将反病毒和反恶意软件解决方案设置为自动定期扫描。

  • 管理特权账户的使用,实行最低权限原则,仅在必要的时候让用户使用管理员账户。

  • 通过最低权限配置访问控制,包括文件、目录和网络共享权限。如果用户只需读取特定文件,就不应当访问这些文件、目录或共享。

  • 在通过电子邮件传输的Microsoft Office文件中,禁用宏脚本。考虑使用Office Viewer软件打开通过电子邮件传输的Office文件,而不是完整的Office套件应用。

  • 制定、研究并开展员工教育项目,培训员工识别骗局、恶意链接和社交工程攻击企图。

  • 对网络进行尝试渗透测试(每年至少一次),如果可行,尽可能经常进行渗透测试。

  • 测试备份,以确保使用时能正常工作。

  • 利用基于主机的防火墙,并阻止工作站到工作站的通信。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。