据外媒 2 日报道,美国国土安全部(DHS)计算机应急响应小组(US-CERT)发布 Petya 勒索软件最新变体预警(TA17-181A), 提醒组织机构尽快对软件进行升级,避免使用不支持的应用与操作系统。
美国国土安全部下属网络安全与通信整合中心(NCCIC)代码分析团队输出一份《恶意软件初步调查报告》(MIFR),对恶意软件进行了深度技术分析。在公私有部门合作伙伴的协助下,NCCIC 还以逗号分隔值形式提供用于信息分享的输入/出控制系统(IOC)”。
此份预警报告的分析范围仅限曝光于 2017 年 6 月 27 日的 Petya 最新变体,此外还涉及初始感染与传播的多种方法,包括如何在 SMB 中进行漏洞利用等。漏洞存在于 SMBv1 服务器对某些请求的处理过程,即远程攻击者可以通过向SMBv1服务器发送特制消息实现代码执行。
US-CERT 专家在分析 Petya 勒索软件最新样本后发现,该变体使用动态生成的 128 位秘钥加密受害者文件并为受害者创建唯一 ID。专家在加密秘钥生成与受害者 ID 之间尚未找到任何联系。
“尽管如此,仍无法证明加密秘钥与受害者 ID 之间存在任何关系,这意味着即便支付赎金也可能无法解密文件”。
“此 Petya 变体通过 MS17-010 SMB 漏洞以及窃取用户 Windows 登录凭据的方式传播。值得注意的是,Petya 变体可用于安装获取用户登录凭据的 Mimikatz 工具。窃取的登录凭据可用于访问网络上的其他系统”。
US-CERT 分析的样本还通过检查被入侵系统的 IP 物理地址映像表尝试识别网络上的其他主机。Petya 变体在 C 盘上写入含有比特币钱包地址与 RSA 秘钥的文本文件。恶意代码对主引导记录(MBR)进行修改,启用主文件表(MFT)与初始 MBR 的加密功能并重启系统、替换 MBR。
“从采用的加密方法来看,即便攻击者收到受害者ID也不大可能恢复文件。”
US-CERT建议组织机构遵循 SMB 相关最佳实践,例如:
• 禁用 SMBv1
• 使用 UDP 端口 137-138 与 TCP 端口 139 上的所有相关协议阻止 TCP 端口 445,进而阻拦所有边界设备上的所有 SMB 版本。“ US-CERT 提醒用户与网络管理员禁用 SMB 或阻止 SMB 可能因阻碍共享文件、数据或设备访问产生一系列问题,应将缓解措施具备的优势与潜在问题同时纳入考虑范畴”。
以下是预警报告中提供的防范建议完整列表:
• 采用微软于 2015 年 3 月 14 日发布的补丁修复 MS17-010 SMB 漏洞。
• 启用恶意软件过滤器防止网络钓鱼电子邮件抵达终端用户,使用发送方策略框架(SPF)、域消息身份认证报告与一致性(DMARC)、DomainKey 邮件识别(DKIM)等技术防止电子邮件欺骗。
• 通过扫描所有传入/出电子邮件检测威胁,防止可执行文件抵达终端用户。
• 确保杀毒软件与防病毒解决方案设置为自动进行常规扫描。
• 管理特权账户的使用。不得为用户分配管理员权限,除非有绝对需要。具有管理员账户需求的用户仅能在必要时使用。
• 配置具有最少权限的访问控制,包括文件、目录、网络共享权限。如果用户仅需读取具体文件,就不应具备写入这些文件、目录或共享文件的权限。
• 禁用通过电子邮件传输的微软 Office 宏脚本。考虑使用 Office Viewer 软件代替完整的 Office 套件应用程序打开通过电子邮件传输的微软 Office 文件。
• 制定、研究并实施员工培训计划以识别欺诈、恶意链接与社工企图。
• 每年至少对网络运行一次定期渗透测试。在理想情况下,尽可能进行多次测试。
• 利用基于主机的防火墙并阻止工作站间通信。
原作者:Pierluigi Paganini,译者:游弋,校对:FOX
from hackernews.cc.thanks for it.