6月27日晚,一種名為Petya的新型勒索病毒爆發,快速席卷了俄羅斯、美國和烏克蘭等國家,并正向全球蔓延。與此前5月WannaCry病毒類似,感染該病毒電腦用戶也將被要求支付一定數量的加密數字貨幣才能解鎖。
金山云安全中心啟動安全檢測,確認金山云客戶尚無感染案例。與此同時,通過金山云沙盒分析系統對感染樣本主機行為分析發現,此次主要感染windows PE文件格式,linux 或者mac無須恐慌,但建議沒打補丁用戶盡快打補丁避免感染風險。
根據金山云安全中心安全截取的樣本分析確認,此次攻擊網絡感染部分Petya釆用 “永恒之藍”的漏洞(MS17-010 SMB漏洞)做內網感染,RTF漏洞(CVE-2017-0199)進行釣魚攻擊。
根據MALWAREINT的全網漏洞探測系統數據:
備注:MS17-010PoC返回存在漏洞的主機數量。
發現在6月27日23點以后,全網感染主機數量增加。
RTF感染EXP,可以參考:https://www.exploit-db.com/exploits/41934/
小結:本次攻擊網絡部分主要是針對個人PC的攻擊和傳染。
金山云沙盒分析系統對感染樣本主機行為分析后,發現該病毒具有如下特征:
(1) Petya勒索軟件主要使用ms17-010 Poc、WMIC、PsExec等病毒組件完成傳播信息獲取。
(2) 磁盤API調用包括:"\\.\PhysicalDrive"、"\\.\PhysicalDrive0"、"\\.\C:"、"TERMSRV"、"\admin$"、"GetLogicalDrives"、"GetDriveTypeW"
(3) 勒索部分顯示信息包括:"CHKDSK is repairing sector"、"[email protected]"、"1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX"
(4) 功能調用API:"OpenProcessToken"、"EnterCriticalSection"、"GetCurrentProcess"、"GetProcAddress"、"WriteFile"、"CoTaskMemFree"、"NamedPipe"
(5) 使用命令:主要是刪除Setup、System、Security、Application
例如:wevtutil cl Application 和fsutilusndeletejournal
(6) 使用任務:"schtasks "、"/Create /SC "、"at %02d:%02d %ws"、"shutdown.exe /r /f"
小結:包含以上特征的調用視為Petya。
如何防范:
(1) 如果你的企業架構中存在windows服務器,建議使用公有云平臺的VPC網絡安全組,防范企業內網感染,降低攻擊面。
(2) 如果你的企業中存在郵件系統,建議更新自己的反病毒郵件網關的病毒定義,或者對進入企業內網的郵件附件做安全掃描,防止病毒通過RTF漏洞傳播。
(3) 使用金山云安全產品KHS更新安全補丁。
(4) 使用金山云主機快照定期對服務器上的數據盤進行備份。
京公網安備 11010502049343號