US-CERT 发布 Petya 最新变体预警及应对措施

据外媒 2 日报道，美国国土安全部（DHS）计算机应急响应小组（US-CERT）发布 Petya 勒索软件最新变体预警（TA17-181A）, 提醒组织机构尽快对软件进行升级，避免使用不支持的应用与操作系统。

美国国土安全部下属网络安全与通信整合中心（NCCIC）代码分析团队输出一份《恶意软件初步调查报告》（MIFR），对恶意软件进行了深度技术分析。在公私有部门合作伙伴的协助下，NCCIC 还以逗号分隔值形式提供用于信息分享的输入/出控制系统（IOC）”。

此份预警报告的分析范围仅限曝光于 2017 年 6 月 27 日的 Petya 最新变体，此外还涉及初始感染与传播的多种方法，包括如何在 SMB 中进行漏洞利用等。漏洞存在于 SMBv1 服务器对某些请求的处理过程，即远程攻击者可以通过向SMBv1服务器发送特制消息实现代码执行。

US-CERT 专家在分析 Petya 勒索软件最新样本后发现，该变体使用动态生成的 128 位秘钥加密受害者文件并为受害者创建唯一 ID。专家在加密秘钥生成与受害者 ID 之间尚未找到任何联系。

“尽管如此，仍无法证明加密秘钥与受害者 ID 之间存在任何关系，这意味着即便支付赎金也可能无法解密文件”。

“此 Petya 变体通过 MS17-010 SMB 漏洞以及窃取用户 Windows 登录凭据的方式传播。值得注意的是，Petya 变体可用于安装获取用户登录凭据的 Mimikatz 工具。窃取的登录凭据可用于访问网络上的其他系统”。

US-CERT 分析的样本还通过检查被入侵系统的 IP 物理地址映像表尝试识别网络上的其他主机。Petya 变体在 C 盘上写入含有比特币钱包地址与 RSA 秘钥的文本文件。恶意代码对主引导记录（MBR）进行修改，启用主文件表（MFT）与初始 MBR 的加密功能并重启系统、替换 MBR。

“从采用的加密方法来看，即便攻击者收到受害者ID也不大可能恢复文件。”

US-CERT建议组织机构遵循 SMB 相关最佳实践，例如：

• 禁用 SMBv1
• 使用 UDP 端口 137-138 与 TCP 端口 139 上的所有相关协议阻止 TCP 端口 445，进而阻拦所有边界设备上的所有 SMB 版本。

“ US-CERT 提醒用户与网络管理员禁用 SMB 或阻止 SMB 可能因阻碍共享文件、数据或设备访问产生一系列问题，应将缓解措施具备的优势与潜在问题同时纳入考虑范畴”。

以下是预警报告中提供的防范建议完整列表：

• 采用微软于 2015 年 3 月 14 日发布的补丁修复 MS17-010 SMB 漏洞。
• 启用恶意软件过滤器防止网络钓鱼电子邮件抵达终端用户，使用发送方策略框架（SPF）、域消息身份认证报告与一致性（DMARC）、DomainKey 邮件识别（DKIM）等技术防止电子邮件欺骗。
• 通过扫描所有传入/出电子邮件检测威胁，防止可执行文件抵达终端用户。
• 确保杀毒软件与防病毒解决方案设置为自动进行常规扫描。
• 管理特权账户的使用。不得为用户分配管理员权限，除非有绝对需要。具有管理员账户需求的用户仅能在必要时使用。
• 配置具有最少权限的访问控制，包括文件、目录、网络共享权限。如果用户仅需读取具体文件，就不应具备写入这些文件、目录或共享文件的权限。
• 禁用通过电子邮件传输的微软 Office 宏脚本。考虑使用 Office Viewer 软件代替完整的 Office 套件应用程序打开通过电子邮件传输的微软 Office 文件。
• 制定、研究并实施员工培训计划以识别欺诈、恶意链接与社工企图。
• 每年至少对网络运行一次定期渗透测试。在理想情况下，尽可能进行多次测试。
• 利用基于主机的防火墙并阻止工作站间通信。

原作者：Pierluigi Paganini，译者：游弋，校对：FOX

from hackernews.cc.thanks for it.