1. 软市首页
  2. 行业观察

新的勒索软件变种“Nyetya”危害全球系统

行业观察

注:思科Talos 针对新威胁进行了积极研究,此博客文章就此进行讨论。这类信息只能视为初步信息,并将随着研究继续持续更新。

更新时间为 2017 年 06 月 28 日下午 07:09 EDT:更新作为用于入侵系统机制的 EternalRomance 的使用情况。

勒索软件Nyetya概述

基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永恒之蓝(EternalBlue)攻击工具和Windows系统的WMI进行传播。与之前出现的WannaCry不同,此次的变种中没有包含外部扫描模块,而是利用了psexec管理工具在内 进行传播。

自从 SamSam 在 2016 年 3 月针对美国医疗保健机构展开攻击以来,思科Talos一直在关注有关解决勒索软件通过未修补 络漏洞的扩散传播。2017 年 5 月,WannaCry 勒索软件利用了 SMBv1 内的漏洞,并在互联 上大规模爆发。

现在,一种新的恶意软件版本已经浮出水面,它与被称为 Petrwrap 和 GoldenEye 等 的 Petya 勒索软件明显不同。思科Talos 正在将这个新的恶意软件变体确定为 Nyetya。该样本利用 EternalBlue、EternalRomance、WMI 和 PsExec 在受影响的 络内部横向渗透。稍后将在“恶意软件功能”的博客中对此行为进行详细介绍。与 WannaCry 不同,Nyetya 显示没有包含外部扫描组件。

目前还没有识别出该勒索软件的传播源头。无法确认电子邮件是传播源头的早期 告。基于观察到的在外传播行为、已知的缺乏、可行的外部扩散机制和其他研究,我们认为有些感染可能与乌克兰税务会计软件 MeDoc 的更新系统有关。思科Talos 还在持续研究此恶意软件的传播源头。

与所有勒索软件一样,思科Talos 不建议支付赎金。应该注意的是,用于支付验证和解密密钥共享的相关邮箱已被 posteo.de 站关闭。这将使得所有成功付款无效,攻击者在收到支付的赎金后没有可用的通信方式验证受害者的支付或者分配解密密钥。恶意软件也没有可用来直接连接命令和控制远程解锁的方法。Nyetya 不完全是勒索软件(其中它会提示您通过支付赎金取回您的数据)更多地像是一个“擦除”系统,它意味着能轻易地擦除系统。

恢复用户凭证

负责传播恶意软件的 Perfc.dat 文件在其资源部分包含嵌入可执行文件。勒索软件将该可执行文件以临时文件属性放置在用户的 %TEMP% 文件夹内,用命名管道参数运行(包含 GUID)。主要可执行文件通过此命名管道与放置的可执行文件通信。例如:

C:WINDOWSTEMP561D.tmp, \.pipe{C1F0BF2D-8C17-4550-AF5A-65A22C61739C}

放置的 .tmp 可执行文件似乎基于 Mimikatz,这是一种流行的开源软件,通过使用几种不同技术用于恢复计算机内存的用户凭证。但是,思科Talos 已确认可执行文件并非 Mimikatz 工具。然后利用 WMIC 和 PsExec 使用恢复的凭证在远程系统中启动恶意软件。例如:

  • Wbemwmic.exe

    /node

    :

    “w.x.y.z”

    /user

    :

    “username”

    /password

    :

    “password”

    “process call create “

    C:WindowsSystem32rundll32.exe “C:Windowsperfc.dat””

    #1

    • 恶意软件功能

    Perfc.dat 具有进一步危害系统所需的功能,并包含一个单个未命名的导出功能模块,称为 #1。该库尝试通过 Windows API AdjustTokenPrivileges 获取当前用户的管理权限(SeShutdowPrivilege 和 SeDebugPrivilege)。一旦成功,Nyetya 将重写磁盘上的启动分区记录(MRB),在 Windows 中把磁盘称为 PhysicalDrive 0。不管 MBR 重写成功与否,恶意软件将继续通过 schtasks 创建计划的任务,在完成感染一小时后重新启动系统。

    在勒索软件传播过程中,恶意软件通过 NetServerEnum API 呼叫遍历 络上所有可见主机,然后扫描所有开放了 TCP 139 端口的主机。这样做是为了编译暴露了这个端口和易于感染的主机列表。

    一旦主机被感染,Nyetya 将使用几种机制进行散播:

    1. EternalBlue – 与 WannaCry 入侵的方式相同。

    2. EternalRomance – 由“ShadowBrokers”泄露的 SMBv1 入侵

    3. PsExec – Windows 系统自带的管理工具。

    4. WMI – Windows 管理工具,Windows 自带组件。

    这些机制用于尝试在其他主机上安装和执行 perfc.dat 以横向扩散恶意软件。

    对于还没有应用MS17-010的系统,则利用 EternalBlue 和 EternalRomance 漏洞攻击危害系统。针对受害者系统启动的漏洞攻击取决于预定目标的操作系统。

  • EternalBlue

    • Windows Server 2008 R2

    Windows Server 2008

    Windows 7

  • EternalRomance

    • Windows XP

    Windows Server 2003

    Windows Vista

    利用当前用户的 Windows Token(来自上面的“恢复用户凭证”部分),在联 的主机上 PsExec 被用于运行以下命令(其中 w.x.y.z 是 IP 地址)来安装恶意软件。

    C:WINDOWSdllhost.dat \w.x.y.z -accepteula -s -dC:WindowsSystem32rundll32.exeC:Windowsperfc.dat

  • Firepower 2110 –在互联 出口检测并阻挡恶意勒索软件的进入

  • 邮件安全 关C190 –检测并阻挡恶意勒索软件通过邮件的方式进入 络

  • AMP end point–安装在用户的终端的软件, 阻挡勒索软件的恶意行为

    • 在此Starter Bundle中

    声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!

    上一篇 2017年6月3日
    下一篇 2017年6月3日

    相关推荐

    首页
    软市超市
    企服市场
    会员中心