自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya。目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息。
勒索软件Nyetya概述勒索软件Nyetya概述
基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永恒之蓝(EternalBlue)攻击工具和Windows系统的WMI进行传播。与之前出现的WannaCry不同,此次的变种中没有包含外部扫描模块,而是利用了psexec管理工具在内网进行传播。
目前还没有完全确定该勒索软件的传播源头和路线,基于目前的分析,我们认为这个勒索软件的传播和感染,很可能与乌克兰的一款被称为MeDoc的会计管理软件的升级更新系统有关。思科Talos还在持续分析该勒索软件的传播源头。
思科Talos在今年4月份就发布了保护针对MS17-010攻击的Snort规则,对于此次发现的变种Talos已经将勒索软件的变种加入到了AMP(Advanced Malware Protection)的黑名单列表中。
勒索软件Nyetya的主要功能
思科Talos在被勒索软件感染的系统上,发现了一个名为Perfc.dat的文件,该文件的功能是进一步感染其他系统,它包含了一个还未被命名的模块,暂命名为#1,其功能是通过Windows API AdjustTokenPrivileges获取当前账号的管理员权限,一旦成功,该勒索软件将重写磁盘的启动分区记录MBR(Master Boot Record)。无论MBR重写成功与否,在完成感染一小时后,都将自动重启系统。
在勒索软件散播过程中,利用了NetServerEnum遍历所有可见的主机,然后扫描所有开放了TCP 139端口的主机,并将这些主机加入到易感染主机列表中。
一旦主机被感染后,勒索软件会使用以下三种方式进行传播:
- EternalBlue – 永恒之蓝,与WannCry相同的入侵方式。
- Psexec – Windows系统自带的管理工具。
- WMI – Windows Management Instrumentation,Windows系统自带的组件。
以上方式被用于勒索软件安装和运行perfc.bat程序,进一步感染其他内网主机。
利用当前用户的Window Token信息,在被感染的主机上psexec被用于运行下列指令来安装勒索软件(Talos还在分析获得Window Token的方式):
利用当前账号的用户名和密码信息,WMI被用于执行下面命令,实现上述相同的功能(Talos还在分析获得用户的凭证信息的途径):
思科发布最新防护规则
目前思科已经能够提供对该勒索软件防护的产品包括:
思科NGIPS/Snort Rules提供了下列Snort规则检测该勒索软件:
- 42944 – OS-WINDOWS Microsoft Windows SMB remote code execution attempt
- 42340 – OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt
下列NGIPS/Snort Rules提供感染流量的检测告警:
- 5718 – OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param/Count OS-WINDOWS attempt
- 1917 – INDICATOR-SCAN UPnP service discover attempt
- 42231 – FILE-OFFICE RTF url moniker COM file download attempt
- 5730 – OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt
AMP发布了感染指数告警:
- W32.Ransomware.Nyetya.TalosSHA256
哈希值:
- 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
为了更好地帮助各行业用户应对后续可能发生的勒索软件攻击变种和升级危机,思科大中华区安全部门在中国大陆推出了勒索软件防护Starter Bundle,整合了目前思科安全Firepower 2110、邮件安全设备C190、AMP高级恶意软件防护等产品,从Web和Email这两个勒索软件最重要的传播途径进行全面防护。
为了更好地帮助各行业用户应对后续可能发生的勒索软件攻击变种和升级危机,思科大中华区安全部门在中国大陆推出了勒索软件防护Starter Bundle,整合了目前思科安全Firepower 2110、邮件安全设备C190、AMP高级恶意软件防护等产品,从Web和Email这两个勒索软件最重要的传播途径进行全面防护。
在此Starter Bundle中,必选组件部分包括:
- Firepower 2110 –在互联网出口检测并阻挡恶意勒索软件的进入
- 邮件安全网关C190 –检测并阻挡恶意勒索软件通过邮件的方式进入网络
- AMP End Point–安装在用户的终端的软件,阻挡勒索软件的恶意行为
在此Starter Bundle中,选配组件部分包括:
- Stealthwatch–快速发现网络异常,定位受感染的主机
- 高级安全服务–提供远程漏洞扫描和钓鱼软件模拟攻击测试的高级服务
