企業(yè)受到攻擊數量最多的國家(Top 20)
與WannaCry 勒索病毒類(lèi)似,Petya同樣利用“永恒之藍”漏洞進(jìn)行傳播。但除此之外,Petya還使用了傳統SMB網(wǎng)絡(luò )傳播技術(shù),這意味著(zhù)即便企業(yè)已經(jīng)安裝“永恒之藍”補丁,Petya依然能夠在企業(yè)內部進(jìn)行傳播。
初始感染方式
賽門(mén)鐵克已經(jīng)證實(shí),網(wǎng)絡(luò )攻擊者在最初Petya入侵企業(yè)網(wǎng)絡(luò )的過(guò)程中,使用了MEDoc。MeDoc是一種稅務(wù)和會(huì )計軟件包,該工具在烏克蘭被廣泛使用,這也表明,烏克蘭企業(yè)是攻擊者此次攻擊的主要目標。
在獲得最初的立足點(diǎn)后,Petya便開(kāi)始利用不同方式在整個(gè)企業(yè)網(wǎng)絡(luò )中進(jìn)行傳播。
傳播和橫向傳播
- Petya是一種蠕蟲(chóng)病毒,該病毒能夠通過(guò)建立目標計算機列表,并使用兩種方法在計算機中實(shí)現自傳播。
- IP地址和認證信息收集
Petya通過(guò)建立包含本地局域網(wǎng)(LAN)中的主要地址與遠程IP在內的IP地址列表來(lái)進(jìn)行傳播。完整列表包括以下內容:
- 所有網(wǎng)絡(luò )適配器的IP地址和DHCP服務(wù)器
- DHCP服務(wù)器的所有DHCP客戶(hù)端(在端口445/139開(kāi)啟的情況下)
- 子網(wǎng)掩碼中的所有IP地址(在端口445/139開(kāi)啟的情況下)
- 當前連接開(kāi)放式網(wǎng)絡(luò )的所有計算機
- ARP緩存中的所有計算機
- 活動(dòng)目錄中的所有資源
- 網(wǎng)上鄰居中的所有服務(wù)器和工作站資源
- Windows憑據管理器中的所有資源(包括遠程桌面終端服務(wù)計算機)
一旦確定目標計算機列表,Petya將列出一份用戶(hù)名和密碼列表,并通過(guò)該列表向目標計算機進(jìn)行傳播。用戶(hù)名和密碼列表會(huì )保存在內存中。Petya收集認證信息有兩種方式:
- 在Windows憑據管理器中收集用戶(hù)名和密碼
- 投放并執行一個(gè)32位或64位的認證信息轉儲器
橫向傳播
Petya實(shí)現網(wǎng)絡(luò )傳播的主要方式有兩種:
- 在網(wǎng)絡(luò )共享里實(shí)現傳播:Petya通過(guò)使用獲取的認證信息,自行復制到[COMPUTER NAME]\\admin$,從而向目標計算機傳播。之后,該病毒會(huì )使用PsExec或Windows管理規范命令行 (WMIC) 工具遠程實(shí)現傳播。上述所提到的兩種工具均是合法工具。
- SMB漏洞:Petya使用“永恒之藍”和“永恒浪漫”這兩種漏洞的變體進(jìn)行傳播。
初始感染和安裝
Petya起初會(huì )通過(guò)rundll32.exe加以執行,并使用以下指令:
- rundll32.exe perfc.dat, #1
一旦動(dòng)態(tài)鏈接庫(DLL)開(kāi)始加載,該程序會(huì )首先嘗試將自己從受感染系統中移除。在最后將文件從磁盤(pán)中刪除之前,它會(huì )打開(kāi)此文件并用空字符覆蓋文件內容,目的是阻止用戶(hù)通過(guò)取證技術(shù)來(lái)恢復文件。
隨后,該程序將試圖創(chuàng )建以下文件,用于標記已受感染的計算機:
- C:\Windows\perfc
MBR感染和加密
Petya在安裝完成后,會(huì )修改主引導記錄(MBR),使該病毒能夠在系統重啟時(shí),劫持受感染計算機的正常加載過(guò)程。受到修改后的MBR可用來(lái)加密硬盤(pán),并同時(shí)模擬磁盤(pán)檢查(CHKDSK)界面,該界面隨后將向用戶(hù)顯示勒索信息。
如果此病毒由普通用戶(hù)執行,則MBR修改將不會(huì )成功,但該病毒依然會(huì )試圖通過(guò)網(wǎng)絡(luò )進(jìn)行傳播。
此時(shí),系統將使用以下命令準備重啟:
- "/c at 00:49 C:\Windows\system32\shutdown.exe /r /f"
由于是準備重啟而不是強制重啟,因此在用戶(hù)模式加密開(kāi)始之前,Petya有足夠的時(shí)間向網(wǎng)絡(luò )中的其他計算機傳播。
文件加密
Petya有2種加密文件的方式
- 在Petya傳播至其他計算機之后,用戶(hù)模式加密將會(huì )發(fā)生,磁盤(pán)中帶有特定擴展名的文件遭到加密。
- MBR受到修改,并加入定制加載器,用于加載CHKDSK模擬器。該模擬器的目的在于隱藏磁盤(pán)加密行為。上述活動(dòng)會(huì )在用戶(hù)模式加密發(fā)生后完成,因此,這種加密采用了雙重加密:用戶(hù)模式加密和全磁盤(pán)加密。
用戶(hù)模式加密
Petya一旦實(shí)現傳播,便會(huì )列出固定磁盤(pán)(如 C:\)上的所有文件,并跳過(guò)該磁盤(pán)中的%Windir%目錄,檢查以下所有文件擴展名:
- 3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc.docx.dwg.eml.fdb.gz.h.hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
每個(gè)磁盤(pán)將生成一個(gè)128位的AES密鑰。如果搜到與上述列表相匹配的文件擴展名,則該惡意軟件將使用生成的密鑰對文件的最初1MB內容進(jìn)行加密。
在對所有符合條件的文件加密后,該惡意軟件將生成勒索信息,并將該信息寫(xiě)入當前磁盤(pán)的 “README.TXT”文件中。
隨后,生成的AES密鑰將通過(guò)嵌入的公開(kāi)密鑰進(jìn)行自我加密。
最終加密的二進(jìn)制大對象(blob)會(huì )作為Base64編碼串附于勒索信息(README.TXT)的最后。勒索信息將此作為“安裝密鑰”。
生成的密鑰之后會(huì )遭到銷(xiāo)毀,以確保其無(wú)法通過(guò)內存恢復。
此時(shí),系統將重新啟動(dòng),而經(jīng)過(guò)修改的MBR代碼將加載模擬CHKDSK界面,并開(kāi)始全盤(pán)加密。
常見(jiàn)問(wèn)題解答
企業(yè)能否抵御Petya勒索軟件攻擊?
Symantec Endpoint Protection(SEP)解決方案和諾頓產(chǎn)品能夠主動(dòng)幫助用戶(hù)抵御Petya勒索軟件利用 “永恒之藍” 漏洞進(jìn)行傳播。此外,賽門(mén)鐵克SONAR行為檢測技術(shù)同樣能夠主動(dòng)防御Petya感染
使用定義版本20170627.009的賽門(mén)鐵克產(chǎn)品同樣能夠檢測出Petya組件Ransom.Petya <https://www.symantec.com/security_response/writeup.jsp?docid=2016-032913-4222-99>。
Petya是什么?
2016年,Petya病毒便已出現。與典型的勒索軟件不同,Petya不只會(huì )加密文件,還會(huì )對主引導記錄(MBR)進(jìn)行覆蓋和加密。
在此次攻擊事件中,受感染計算機顯示了以下勒索信息,要求受害者以比特幣形式支付300美元以恢復文件:
受Petya勒索軟件感染的計算機所顯示的勒索信息,攻擊者向受害者索要價(jià)值300美元的比特幣以贖回加密文件
Petya的傳播和感染方式?
MEDoc會(huì )計軟件用以在企業(yè)網(wǎng)絡(luò )中投放和安裝Petya勒索軟件。在進(jìn)入企業(yè)網(wǎng)絡(luò )后,該勒索軟件會(huì )使用兩種方式進(jìn)行傳播。
其中一種傳播方式:Petya會(huì )利用MS17-010 <https://technet.microsoft.com/en-us/library/security/ms17-010.aspx>漏洞(也稱(chēng)為“永恒之藍”)實(shí)現傳播。此外,Petya還會(huì )通過(guò)獲取用戶(hù)名和密碼,在網(wǎng)絡(luò )共享文件中進(jìn)行傳播。
影響范圍?
受到Petya影響最大的是位于歐洲的企業(yè)與機構。
針對性攻擊?
目前尚不清楚此次攻擊是否為針對性攻擊,但該病毒的最初傳播所使用的軟件只有在烏克蘭才能使用,這表明烏克蘭的企業(yè)是網(wǎng)絡(luò )攻擊者的最初目標。
支付贖金?
賽門(mén)鐵克建議用戶(hù)切勿支付贖金。目前沒(méi)有證據表明,加密文件能夠在支付贖金后得以恢復。
賽門(mén)鐵克安全保護
網(wǎng)絡(luò )保護
為了保護用戶(hù)免受上述攻擊,賽門(mén)鐵克采取了以下IPS保護,以幫助用戶(hù)抵御攻擊:
- 操作系統攻擊:微軟SMB MS17-010 披露嘗試 <https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=23875>(2017年5月2日發(fā)布)
- 攻擊:惡意代碼下載活動(dòng) <https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=23737>(2017年4月24日發(fā)布)
- 攻擊:SMB Double Pulsar Ping <https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=21331>
- 網(wǎng)頁(yè)攻擊:惡意代碼下載活動(dòng) 4 <https://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=28338>
反病毒
- Ransom.Petya
- Ransom.Petya!g1 <https://www.symantec.com/security_response/writeup.jsp?docid=2017-062809-4521-99>
SONAR行為檢測技術(shù)
- SONAR.Module!gen3 <http://securityresponse.symantec.com/security_response/detected_writeup.jsp?name=SONAR.Module!gen3&vid=4294920985>
Skeptic技術(shù)
- Trojan.gen <https://www.symantec.com/security_response/writeup.jsp?docid=2010-022501-5526-99>
賽門(mén)鐵克正在密切關(guān)注此次威脅,并對其進(jìn)行分析,我們將及時(shí)發(fā)布更多相關(guān)信息。
關(guān)于賽門(mén)鐵克:
賽門(mén)鐵克公司(納斯達克:SYMC)是全球領(lǐng)先的網(wǎng)絡(luò )安全企業(yè),旨在幫助個(gè)人、企業(yè)和政府機構保護無(wú)處不在的重要數據安全。全球企業(yè)都青睞選用賽門(mén)鐵克的戰略性集成式解決方案,在端點(diǎn)、云和基礎架構抵御復雜攻擊。同時(shí),全球 5000 多萬(wàn)的個(gè)人和家庭也在使用賽門(mén)鐵克的 Norton 和 LifeLock 產(chǎn)品,保護家庭各類(lèi)聯(lián)網(wǎng)設備安全,暢享無(wú)憂(yōu)數字生活。賽門(mén)鐵克經(jīng)營(yíng)在全球規模數一數二的威脅情報網(wǎng)絡(luò ),能夠發(fā)現和抵御最高級威脅。
