自2017年5月份經歷勒索軟件WannaCry的大規(guī)模爆發(fā)后����,思科Talos團隊在6月27日發(fā)現了最新的勒索軟件變種,暫命名為Nyetya�。目前已經在多個國家發(fā)現了這個勒索軟件的感染事件,思科Talos團隊正在積極分析并不斷更新最新的防護信息�。
自2017年5月份經歷勒索軟件WannaCry的大規(guī)模爆發(fā)后,思科Talos團隊在6月27日發(fā)現了最新的勒索軟件變種�����,暫命名為Nyetya。目前已經在多個國家發(fā)現了這個勒索軟件的感染事件�,思科Talos團隊正在積極分析并不斷更新最新的防護信息。
勒索軟件Nyetya概述
基于新勒索軟件變種的樣本分析顯示�,勒索軟件借助了之前被多次利用的永恒之藍(EternalBlue)攻擊工具和Windows系統(tǒng)的WMI進行傳播。與之前出現的WannaCry不同���,此次的變種中沒有包含外部掃描模塊�����,而是利用了psexec管理工具在內網進行傳播。
目前還沒有完全確定該勒索軟件的傳播源頭和路線����,基于目前的分析,我們認為這個勒索軟件的傳播和感染���,很可能與烏克蘭的一款被稱為MeDoc的會計管理軟件的升級更新系統(tǒng)有關�。思科Talos還在持續(xù)分析該勒索軟件的傳播源頭����。
思科Talos在今年4月份就發(fā)布了保護針對MS17-010攻擊的Snort規(guī)則,對于此次發(fā)現的變種Talos已經將勒索軟件的變種加入到了AMP(Advanced Malware Protection)的黑名單列表中��。
勒索軟件Nyetya的主要功能
思科Talos在被勒索軟件感染的系統(tǒng)上,發(fā)現了一個名為Perfc.dat的文件�����,該文件的功能是進一步感染其他系統(tǒng)�,它包含了一個還未被命名的模塊,暫命名為#1����,其功能是通過Windows API AdjustTokenPrivileges獲取當前賬號的管理員權限,一旦成功�,該勒索軟件將重寫磁盤的啟動分區(qū)記錄MBR(Master Boot Record)。無論MBR重寫成功與否�,在完成感染一小時后,都將自動重啟系統(tǒng)��。
在勒索軟件散播過程中����,利用了NetServerEnum遍歷所有可見的主機,然后掃描所有開放了TCP 139端口的主機���,并將這些主機加入到易感染主機列表中�。
一旦主機被感染后,勒索軟件會使用以下三種方式進行傳播:
EternalBlue – 永恒之藍�����,與WannCry相同的入侵方式�。
Psexec – Windows系統(tǒng)自帶的管理工具。
WMI - Windows Management Instrumentation�����,Windows系統(tǒng)自帶的組件�����。
以上方式被用于勒索軟件安裝和運行perfc.bat程序�,進一步感染其他內網主機��。
利用當前用戶的Window Token信息��,在被感染的主機上psexec被用于運行下列指令來安裝勒索軟件(Talos還在分析獲得Window Token的方式):
利用當前賬號的用戶名和密碼信息�����,WMI被用于執(zhí)行下面命令��,實現上述相同的功能(Talos還在分析獲得用戶的憑證信息的途徑):
思科發(fā)布最新防護規(guī)則
目前思科已經能夠提供對該勒索軟件防護的產品包括:
思科NGIPS/Snort Rules提供了下列Snort規(guī)則檢測該勒索軟件:
42944 - OS-WINDOWS Microsoft Windows SMB remote code execution attempt
42340 - OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt
下列NGIPS/Snort Rules提供感染流量的檢測告警:
5718 - OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param/Count OS-WINDOWS attempt
1917 - INDICATOR-SCAN UPnP service discover attempt
42231 - FILE-OFFICE RTF url moniker COM file download attempt
5730 - OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt
AMP發(fā)布了感染指數告警:
W32.Ransomware.Nyetya.Talos
SHA256哈希值:
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
思科勒索軟件防護促銷包發(fā)布
為了更好地幫助各行業(yè)用戶應對后續(xù)可能發(fā)生的勒索軟件攻擊變種和升級危機,思科大中華區(qū)安全部門在中國大陸推出了勒索軟件防護Starter Bundle���,整合了目前思科安全Firepower 2110�����、郵件安全設備C190�����、AMP高級惡意軟件防護等產品���,從Web和Email這兩個勒索軟件最重要的傳播途徑進行全面防護。
在此Starter Bundle中�,必選組件部分包括:
Firepower 2110 --在互聯網出口檢測并阻擋惡意勒索軟件的進入
郵件安全網關C190 --檢測并阻擋惡意勒索軟件通過郵件的方式進入網絡
AMP End Point--安裝在用戶的終端的軟件,阻擋勒索軟件的惡意行為
在此Starter Bundle中����,選配組件部分包括:
Stealthwatch--快速發(fā)現網絡異常,定位受感染的主機
高級安全服務--提供遠程漏洞掃描和釣魚軟件模擬攻擊測試的高級服務
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯網共享平臺����。如使用任何字體和圖片文字有冒犯其版權所有方的,皆為無意�����。如您是字體廠商、圖片文字廠商等版權方����,且不允許本站使用您的字體和圖片文字等素材,請聯系我們���,本站核實后將立即刪除�!任何版權方從未通知聯系本站管理者停止使用�,并索要賠償或上訴法院的,均視為新型網絡碰瓷及敲詐勒索�,將不予任何的法律和經濟賠償!敬請諒解�����!
粵公網安備 44030402000264號