6月27日晚,一种名为Petya的新型勒索病毒爆发,快速席卷了俄罗斯、美国和乌克兰等国家,并正向全球蔓延。与此前5月WannaCry病毒类似,感染该病毒电脑用户也将被要求支付一定数量的加密数字货币才能解锁。
金山云安全中心启动安全检测,确认金山云客户尚无感染案例。与此同时,通过金山云沙盒分析系统对感染样本主机行为分析发现,此次主要感染windows PE文件格式,linux 或者mac无须恐慌,但建议没打补丁用户尽快打补丁避免感染风险。
根据金山云安全中心安全截取的样本分析确认,此次攻击网络感染部分Petya釆用 “永恒之蓝”的漏洞(MS17-010 SMB漏洞)做内网感染,RTF漏洞(CVE-2017-0199)进行钓鱼攻击。
根据MALWAREINT的全网漏洞探测系统数据:
备注:MS17-010PoC返回存在漏洞的主机数量。
发现在6月27日23点以后,全网感染主机数量增加。
RTF感染EXP,可以参考:https://www.exploit-db.com/exploits/41934/
小结:本次攻击网络部分主要是针对个人PC的攻击和传染。
金山云沙盒分析系统对感染样本主机行为分析后,发现该病毒具有如下特征:
(1) Petya勒索软件主要使用ms17-010 Poc、WMIC、PsExec等病毒组件完成传播信息获取。
(2) 磁盘API调用包括:"\\\\.\\PhysicalDrive"、"\\\\.\\PhysicalDrive0"、"\\\\.\\C:"、"TERMSRV"、"\\admin$"、"GetLogicalDrives"、"GetDriveTypeW"
(3) 勒索部分显示信息包括:"CHKDSK is repairing sector"、"wowsmith123456@posteo.net"、"1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX"
(4) 功能调用API:"OpenProcessToken"、"EnterCriticalSection"、"GetCurrentProcess"、"GetProcAddress"、"WriteFile"、"CoTaskMemFree"、"NamedPipe"
(5) 使用命令:主要是删除Setup、System、Security、Application
例如:wevtutil cl Application 和fsutilusndeletejournal
(6) 使用任务:"schtasks "、"/Create /SC "、"at %02d:%02d %ws"、"shutdown.exe /r /f"
小结:包含以上特征的调用视为Petya。
如何防范:
(1) 如果你的企业架构中存在windows服务器,建议使用公有云平台的VPC网络安全组,防范企业内网感染,降低攻击面。
(2) 如果你的企业中存在邮件系统,建议更新自己的反病毒邮件网关的病毒定义,或者对进入企业内网的邮件附件做安全扫描,防止病毒通过RTF漏洞传播。
(3) 使用金山云安全产品KHS更新安全补丁。
(4) 使用金山云主机快照定期对服务器上的数据盘进行备份。