今日頭條
官方微信
官方抖音
資訊頻道據(jù)外媒 2 日報道,美國國土安全部(DHS)計算機(jī)應(yīng)急響應(yīng)小組(US-CERT)發(fā)布 Petya 勒索軟件最新變體預(yù)警(TA17-181A), 提醒組織機(jī)構(gòu)盡快對軟件進(jìn)行升級,避免使用不支持的應(yīng)用與操作系統(tǒng)。
美國國土安全部下屬網(wǎng)絡(luò)安全與通信整合中心(NCCIC)代碼分析團(tuán)隊輸出一份《惡意軟件初步調(diào)查報告》(MIFR),對惡意軟件進(jìn)行了深度技術(shù)分析。在公私有部門合作伙伴的協(xié)助下,NCCIC 還以逗號分隔值形式提供用于信息分享的輸入/出控制系統(tǒng)(IOC)”。
此份預(yù)警報告的分析范圍僅限曝光于 2017 年 6 月 27 日的 Petya 最新變體,此外還涉及初始感染與傳播的多種方法,包括如何在 SMB 中進(jìn)行漏洞利用等。漏洞存在于 SMBv1 服務(wù)器對某些請求的處理過程,即遠(yuǎn)程攻擊者可以通過向SMBv1服務(wù)器發(fā)送特制消息實現(xiàn)代碼執(zhí)行。
US-CERT 專家在分析 Petya 勒索軟件最新樣本后發(fā)現(xiàn),該變體使用動態(tài)生成的 128 位秘鑰加密受害者文件并為受害者創(chuàng)建唯一 ID。專家在加密秘鑰生成與受害者 ID 之間尚未找到任何聯(lián)系。
“盡管如此,仍無法證明加密秘鑰與受害者 ID 之間存在任何關(guān)系,這意味著即便支付贖金也可能無法解密文件”。
“此 Petya 變體通過 MS17-010 SMB 漏洞以及竊取用戶 Windows 登錄憑據(jù)的方式傳播。值得注意的是,Petya 變體可用于安裝獲取用戶登錄憑據(jù)的 Mimikatz 工具。竊取的登錄憑據(jù)可用于訪問網(wǎng)絡(luò)上的其他系統(tǒng)”。
US-CERT 分析的樣本還通過檢查被入侵系統(tǒng)的 IP 物理地址映像表嘗試識別網(wǎng)絡(luò)上的其他主機(jī)。Petya 變體在 C 盤上寫入含有比特幣錢包地址與 RSA 秘鑰的文本文件。惡意代碼對主引導(dǎo)記錄(MBR)進(jìn)行修改,啟用主文件表(MFT)與初始 MBR 的加密功能并重啟系統(tǒng)、替換 MBR。
“從采用的加密方法來看,即便攻擊者收到受害者ID也不大可能恢復(fù)文件。”
US-CERT建議組織機(jī)構(gòu)遵循 SMB 相關(guān)最佳實踐,例如:
1、禁用 SMBv1。
2、使用 UDP 端口 137-138 與 TCP 端口 139 上的所有相關(guān)協(xié)議阻止 TCP 端口 445,進(jìn)而阻攔所有邊界設(shè)備上的所有 SMB 版本。
“ US-CERT 提醒用戶與網(wǎng)絡(luò)管理員禁用 SMB 或阻止 SMB 可能因阻礙共享文件、數(shù)據(jù)或設(shè)備訪問產(chǎn)生一系列問題,應(yīng)將緩解措施具備的優(yōu)勢與潛在問題同時納入考慮范疇”。
以下是預(yù)警報告中提供的防范建議完整列表:
1、采用微軟于 2015 年 3 月 14 日發(fā)布的補(bǔ)丁修復(fù) MS17-010 SMB 漏洞。
2、啟用惡意軟件過濾器防止網(wǎng)絡(luò)釣魚電子郵件抵達(dá)終端用戶,使用發(fā)送方策略框架(SPF)、域消息身份認(rèn)證報告與一致性(DMARC)、DomainKey 郵件識別(DKIM)等技術(shù)防止電子郵件欺騙。
3、通過掃描所有傳入/出電子郵件檢測威脅,防止可執(zhí)行文件抵達(dá)終端用戶。
4、確保殺毒軟件與防病毒解決方案設(shè)置為自動進(jìn)行常規(guī)掃描。
5、管理特權(quán)賬戶的使用。不得為用戶分配管理員權(quán)限,除非有絕對需要。具有管理員賬戶需求的用戶僅能在必要時使用。
6、配置具有最少權(quán)限的訪問控制,包括文件、目錄、網(wǎng)絡(luò)共享權(quán)限。如果用戶僅需讀取具體文件,就不應(yīng)具備寫入這些文件、目錄或共享文件的權(quán)限。
7、禁用通過電子郵件傳輸?shù)奈④?Office 宏腳本。考慮使用 Office Viewer 軟件代替完整的 Office 套件應(yīng)用程序打開通過電子郵件傳輸?shù)奈④?Office 文件。
8、制定、研究并實施員工培訓(xùn)計劃以識別欺詐、惡意鏈接與社工企圖。
9、每年至少對網(wǎng)絡(luò)運(yùn)行一次定期滲透測試。在理想情況下,盡可能進(jìn)行多次測試。
10、利用基于主機(jī)的防火墻并阻止工作站間通信。
北京市公安局海淀分局備案號:11010802023656號