23 分钟
0x0008_“必加”(Petya)勒索继续(下)_20170706 赛博战线-网络安全专业频道
-
- 科技
网站:http://www.cyberwarface.com/
博客:http://www.cyberwarface.com/index.php/2017/07/445
音频:http://m.ximalaya.com/22885296/sound/42990624
微信:cyberwarface
本期内容:
上一期,我为大家介绍了“必加”的主要特点及传播方式,也提到了一个“自杀开关”,虽然不能保证完全能够防住所有变种,但也不妨应急使用一下。本期将为大家介绍一下“必加”与WannaCry“想哭”的区别,以及防御手段。最后,为大家介绍一下安全专家是如何定位“必加”的。
我们先看下“必加”和WannaCry“想哭”有哪些区别
3、与WannaCry“想哭”的区别
Petya更加的小巧精悍,WanaCry是一个3.4MB左右的.exe文件,而Petya为一个354KB的.dll文件。但在攻击能力上,Petya的渗透方式更多,从WanaCry渗透模块CFG结构图和Petya渗透模块CFG结构图的对比来看。WanaCry和Petya两者都采集到445端口的数据包,都用到了『永恒之蓝』漏洞进行渗透。但是Petya还具有了某些APT的横向移动属性,利用管理共享在局域网内传播,而后通过wmic来实现远程命令执行。这个比WanaCry的渗透能力要高一截。
Petya和传统的勒索软件不同,不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名,大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动。这种方式和加密文件是完全不同的,如果加密文件是将书柜里的每本书加把锁的话,加密磁盘相当与将整个书柜都加了锁。而MFT、MBR则是描述这个书柜如何分配空间的,一本书的每一页都存在什么位置的,如果这个信息被加密了,文件内容还原的难度就很大了。
4、手工阻断方式
a、关闭主机共享端口,或通过防火墙阻断,端口为TCP 135、137、139、445等。另外3389端口也建议关闭。
b、停止WMI服务:
WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机,Windows 2K/XP和Windows 98 都支持WMI;如果为NT 4.0和Windows 95加上了 Service Pack 4或更高版本,NT 4.0和Win95也支持WMI。需要停止此服务,具体方法为:
在控制面板中,选择管理工具,在管理工具中点击服务,或者在开始-运行(WIN+R),输入services.msc运行,进入服务管理页。
按字母排序,找到WMI(显示名称为:WindowsManagement Instrumentation)服务,点右键进入属性页面,停止服务,并将“启动类型”改为“禁用”,如下图所示:
5、防护建议
a、养成良好的安全习惯,不要点击不明邮件附件,不通过聊天软件接收不明文件,尤其是rtf、doc、lnk等格式;
b、安装杀毒软件,及时更新病毒代码;
c、及时更新windows系统补丁,具体修复方案可参考“永恒之蓝”。补丁及说明地址如下:
MS17-010:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
CVE-2017-0199:https://technet.microsoft.com/zh-cn/office/mt465751.aspx
旧平台指导:https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
d、加强密码策略,不使用更改空口令和弱口令,并做到不同主机不使用相同的账号密码,及时修改密码
e、在内部网络中,先断开网络并更新补丁。
6、总结
“必加”(Petya)的一种说法是东欧女性的名字,来自斯拉夫语系,另一种说法为一款前苏联的轻型护卫舰的名字。整个攻击过程也体现了明显的地缘特点,并且也发现了“自杀开关”,病毒很容易就被抑制住了。如果是一个纯粹的
网站:http://www.cyberwarface.com/
博客:http://www.cyberwarface.com/index.php/2017/07/445
音频:http://m.ximalaya.com/22885296/sound/42990624
微信:cyberwarface
本期内容:
上一期,我为大家介绍了“必加”的主要特点及传播方式,也提到了一个“自杀开关”,虽然不能保证完全能够防住所有变种,但也不妨应急使用一下。本期将为大家介绍一下“必加”与WannaCry“想哭”的区别,以及防御手段。最后,为大家介绍一下安全专家是如何定位“必加”的。
我们先看下“必加”和WannaCry“想哭”有哪些区别
3、与WannaCry“想哭”的区别
Petya更加的小巧精悍,WanaCry是一个3.4MB左右的.exe文件,而Petya为一个354KB的.dll文件。但在攻击能力上,Petya的渗透方式更多,从WanaCry渗透模块CFG结构图和Petya渗透模块CFG结构图的对比来看。WanaCry和Petya两者都采集到445端口的数据包,都用到了『永恒之蓝』漏洞进行渗透。但是Petya还具有了某些APT的横向移动属性,利用管理共享在局域网内传播,而后通过wmic来实现远程命令执行。这个比WanaCry的渗透能力要高一截。
Petya和传统的勒索软件不同,不会对电脑中的每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名,大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动。这种方式和加密文件是完全不同的,如果加密文件是将书柜里的每本书加把锁的话,加密磁盘相当与将整个书柜都加了锁。而MFT、MBR则是描述这个书柜如何分配空间的,一本书的每一页都存在什么位置的,如果这个信息被加密了,文件内容还原的难度就很大了。
4、手工阻断方式
a、关闭主机共享端口,或通过防火墙阻断,端口为TCP 135、137、139、445等。另外3389端口也建议关闭。
b、停止WMI服务:
WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机,Windows 2K/XP和Windows 98 都支持WMI;如果为NT 4.0和Windows 95加上了 Service Pack 4或更高版本,NT 4.0和Win95也支持WMI。需要停止此服务,具体方法为:
在控制面板中,选择管理工具,在管理工具中点击服务,或者在开始-运行(WIN+R),输入services.msc运行,进入服务管理页。
按字母排序,找到WMI(显示名称为:WindowsManagement Instrumentation)服务,点右键进入属性页面,停止服务,并将“启动类型”改为“禁用”,如下图所示:
5、防护建议
a、养成良好的安全习惯,不要点击不明邮件附件,不通过聊天软件接收不明文件,尤其是rtf、doc、lnk等格式;
b、安装杀毒软件,及时更新病毒代码;
c、及时更新windows系统补丁,具体修复方案可参考“永恒之蓝”。补丁及说明地址如下:
MS17-010:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
CVE-2017-0199:https://technet.microsoft.com/zh-cn/office/mt465751.aspx
旧平台指导:https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
d、加强密码策略,不使用更改空口令和弱口令,并做到不同主机不使用相同的账号密码,及时修改密码
e、在内部网络中,先断开网络并更新补丁。
6、总结
“必加”(Petya)的一种说法是东欧女性的名字,来自斯拉夫语系,另一种说法为一款前苏联的轻型护卫舰的名字。整个攻击过程也体现了明显的地缘特点,并且也发现了“自杀开关”,病毒很容易就被抑制住了。如果是一个纯粹的
23 分钟