今天,一個(gè)新的惡意軟件版本已經(jīng)浮出水面,這與Petya不同,人們已經(jīng)通過(guò)Petrwrap和GoldenEye等各種名稱(chēng)提到了它。Talos正在將這種新的惡意軟件變種識別為Nyetya。該樣本利用EternalBlue,EternalRomance,WMI和PsExec在受影響的網(wǎng)絡(luò )中進(jìn)行橫向移動(dòng)。此行為稍后在“惡意軟件功能”下的博客中詳細介紹。與WannaCry不同,Nyetya似乎不包含外部掃描組件。
識別初始載體已被證明更具挑戰性。電子郵件向量的早期報告無(wú)法確認。基于觀(guān)察到的野外行為,缺乏一個(gè)已知的,可行的外部擴散機制和其他研究,我們認為有些感染可能與烏克蘭稅務(wù)會(huì )計軟件MeDoc的軟件更新系統有關(guān)。Talos繼續研究這種惡意軟件的初始向量。
與所有的贖金一樣,Talos不建議支付贖金。使用這個(gè)特定的贖金軟件,應該注意的是,用于支付驗證和解密密鑰共享的相關(guān)郵箱已經(jīng)被posteo.de網(wǎng)站關(guān)閉了。這使得任何成功的付款無(wú)效 - 這個(gè)攻擊者沒(méi)有可用的通信方法用于驗證受害者的付款或一旦收到贖金付款后分發(fā)解密密鑰。惡意軟件還沒(méi)有使用直接連接命令和遠程解鎖控制的方法。Nyetya不是一塊贖金(這意味著(zhù)你通過(guò)支付贖金得到你的數據),更多的是一個(gè)“擦除”系統,用于簡(jiǎn)單地擦除系統。
恢復用戶(hù)證書(shū)
負責傳播惡意軟件的Perfc.dat在其資源部分包含一個(gè)嵌入式可執行文件。可執行文件作為臨時(shí)文件放在用戶(hù)的%TEMP%文件夾中,并使用命名管道參數(包含GUID)運行。主要可執行文件使用這個(gè)命名管道與刪除的可執行文件通信 例如:
丟棄的。tmp可執行文件似乎基于Mimikatz,這是一種流行的開(kāi)源工具,用于使用幾種不同的技術(shù)從計算機內存中恢復用戶(hù)憑據。但是,Talos已經(jīng)確認可執行文件不是Mimikatz工具。
然后,恢復的憑據用于使用WMIC和PsExec在遠程系統上啟動(dòng)惡意軟件。例如:
惡意軟件功能
Perfc.dat包含進(jìn)一步破壞系統所需的功能,并包含一個(gè)名為#1的未命名導出功能。該庫嘗試通過(guò)Windows API AdjustTokenPrivileges為當前用戶(hù)獲取管理員權限(SeShutdowPrivilege和SeDebugPrivilege)。如果成功,Nyetya將覆蓋Windows中稱(chēng)為PhysicalDrive 0的磁盤(pán)驅動(dòng)器上的主引導記錄(MBR)。無(wú)論惡意軟件是否成功覆蓋MBR,然后將繼續通過(guò)schtasks創(chuàng )建一個(gè)計劃任務(wù),以在感染后一個(gè)小時(shí)重啟系統。
作為傳播過(guò)程的一部分,惡意軟件通過(guò)NetServerEnum API調用枚舉網(wǎng)絡(luò )上的所有可見(jiàn)機器,然后掃描打開(kāi)的TCP 139端口。這樣做是為了編譯暴露此端口的設備列表,并可能容易受到影響。
Nyetya有幾種機制,一旦設備被感染就被用來(lái)傳播:
- EternalBlue - WannaCry使用的相同漏洞。
- EternalRomance - 由“ShadowBrokers”漏掉的SMBv1漏洞
- PsExec - 一個(gè)合法的Windows管理工具。
- WMI - Windows Management Instrumentation,一個(gè)合法的Windows組件。
- 這些機制用于嘗試在其他設備上安裝和執行perfc.dat以橫向擴展。
對于尚未使用MS17-010的系統,EternalBlue和EternalRomance漏洞利用來(lái)破壞系統。針對受害者系統發(fā)起的漏洞取決于預期目標的操作系統。
EternalBlue
- Windows Server 2008 R2
- Windows Server 2008
- Windows 7的
- EternalRomance
- Windows XP
- Windows Server 2003
- Windows Vista
PsExec用于使用當前用戶(hù)的Windows令牌執行以下指令(其中wxyz是IP地址)(從“恢復用戶(hù)證書(shū)”部分)部分,以在聯(lián)網(wǎng)的設備上安裝惡意軟件。
WMI用于執行以下命令,執行與上述相同的功能,但使用當前用戶(hù)的用戶(hù)名和密碼(作為用戶(hù)名和密碼),從上述“恢復用戶(hù)憑證”部分檢索。
一旦系統成功受損,惡意軟件會(huì )使用2048位RSA加密來(lái)加密主機上的文件。此外,惡意軟件使用以下命令清除受感染設備上的事件日志:
MBR覆蓋的系統在重新啟動(dòng)時(shí)會(huì )看到此消息。
Nyetya遭到破壞的系統的屏幕截圖。
緩解和預防
- 客戶(hù)可以通過(guò)幾種方式來(lái)減輕和阻止Nyetya影響您的環(huán)境。
- 首先,我們強烈建議尚未申請MS17-010的客戶(hù)立即執行。鑒于漏洞的嚴重性以及利用這一漏洞的廣泛使用的工具,將此漏洞保留在未被修補是不明智的。
- 確保您的系統上部署了可以檢測和阻止已知惡意可執行文件執行的防惡意軟件軟件。
- 實(shí)施災難恢復計劃,其中包括備份和恢復備份設備的數據,這些備份設備保持脫機狀態(tài)。對手經(jīng)常針對備份機制來(lái)限制用戶(hù)可以在不支付贖金的情況下還原其文件的可能性。
- 如果可能,在網(wǎng)絡(luò )上禁用SMBv1,并轉移到更新版本的SMB。(SMBv2與Microsoft Vista一起推出)
由于Nyetya試圖在受感染的機器上覆蓋MBR,Talos使用MBRFilter進(jìn)行測試,以防止系統MBR允許進(jìn)行任何更改。該測試證明是成功的,并且機器MBR在良好狀態(tài)下保持完好。對于可以這樣做的用戶(hù)或企業(yè),我們建議使用MBRFilter。請注意,MBRFilter是Talos的開(kāi)源項目,不提供任何保證或擔保。
覆蓋
Cisco客戶(hù)通過(guò)以下產(chǎn)品和服務(wù)受到Nyetya的保護。
高級惡意軟件防護(AMP)非常適合防止這些威脅演員使用的惡意軟件的執行。
諸如NGFW,NGIPS和Meraki MX等網(wǎng)絡(luò )安全設備可以檢測與此威脅相關(guān)的惡意活動(dòng)。
AMP Threat Grid可幫助識別惡意二進(jìn)制代碼,并對所有Cisco Security產(chǎn)品構建保護。
電子郵件和網(wǎng)絡(luò )目前還沒(méi)有被識別為攻擊媒介。此外,目前還沒(méi)有與此惡意軟件相關(guān)的已知C2元素。惡意軟件(如果通過(guò)網(wǎng)絡(luò )上的這些系統傳輸)將被阻止。
NGIPS / Snort規則
以下NGIPS / Snort規則檢測此威脅:
- 42944 - OS-WINDOWS Microsoft Windows SMB遠程代碼執行嘗試
- 42340 - OS-WINDOWS Microsoft Windows SMB匿名會(huì )話(huà)IPC共享訪(fǎng)問(wèn)嘗試
- 41984 - OS-WINDOWS Microsoft Windows SMBv1相同的MID和FID類(lèi)型混淆嘗試
以下NGIPS / Snort規則也是感染流量的指標:
- 5718 - OS-WINDOWS Microsoft Windows SMB-DS Trans unicode最大參數/計數OS-WINDOWS嘗試
- 1917 - INDICATOR-SCAN UPnP服務(wù)發(fā)現嘗試
- 5730 - OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS嘗試
- 26385 - FILE-EXECUTABLE Microsoft Windows可執行文件保存到SMB共享嘗試
- 43370 - NETBIOS DCERPC可能的wmi遠程進(jìn)程啟動(dòng)
AMP覆蓋
- W32.Ransomware.Nyetya.Talos
威脅網(wǎng)格
威脅網(wǎng)格能夠檢測與Nyetya相關(guān)的惡意軟件樣本為惡意軟件。
妥協(xié)指標(IOC)
AMP覆蓋
- W32.Ransomware.Nyetya.Talos
SHA256
- 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
- eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998(密碼竊取者)
