美國US-CERT發布Petya警告及應對措施

E安全7月5日訊 當地時間7月1日，美國國土安全部（DHS）計算機應急預備小組（US-CERT）發布Petya新變種勒索軟體警告（TA17-181A）。

計算機應急預備小組敦促組織機構升級軟體，避免使用不支持的應用程序和操作系統。

計算機應急預備小組證實稱，收到了多份有關最近Petya勒索軟體感染的報告。這款勒索軟體利用「永恆之藍」漏洞利用M2 MS17-010，利用伺服器信息塊（SMB）中的漏洞使設備無法使用。

Petya勒索軟體分析報告

CERT在警告中指出，國家網路安全與通信集成中心（NCCIC）代碼分析小組提供了一份惡意軟體初始結果報告（MIFR），對這款惡意軟體進行了深度技術分析。此外，NCCIC與公共和私有部門的合作夥伴合作，提供了其它攻擊指示器（IOC）信息。

初始結果報告和IOC信息如下：

• MIFR-10130295.pdf

• TA-17-181A_IOCs.csv

這份警告指出，警告分析的範圍僅限於2017年6月27浮現的新Petya變種，這款惡意軟體在警告中被稱為Petya。基於初步報告，Petya在初期感染中使用了多種方法和傳播手段，包括利用SMB中的漏洞。

SMBv1伺服器在處理特定的需求方面存在該漏洞，因此允許攻擊者向SMBv1伺服器發送特製信息，從而遠程執行代碼。

計算機應急預備小組的專家分析了最近這個Petya勒索軟體的樣本后發現，該變種通過動態生成的128位密鑰加密受害者的文件，並為受害者創建唯一ID。專家未發現加密密鑰生成與受害者ID之間的關聯。警告指出，沒有證據證明加密密鑰與受害者ID之間存在關聯，這就意味著，即使受害者支付贖金，攻擊者也可能無法解密受害者的文件。

這個Petya變種使用SMB漏洞，並竊取用戶的Windows登錄憑證進行傳播。值得注意的是，這款Petya變種會安裝修改版的Mimikatz工具，該工具能被用來獲取用戶的登錄憑證。被竊的登錄憑證能被用來訪問網路上的其它系統。

計算機應急預備小組分析的樣本還設法檢查被感染系統的IP物理地址映射表，以此識別網路上的其它主機。

這款Petya變種在C:\盤中創建文本文件，其中包含比特幣錢包地址以及贖金支付的RSA密鑰。惡意代碼會修改主引導記錄（MBR），從而啟動主文件表（MFT）和MBR的加密，之後重啟系統替換MBR。

基於該變種使用的加密方法，即使攻擊者收到受害者的唯一ID可能也無法恢復文件。

建議

計算機應急預備小組建議組織機構執行以下有關SMB的步驟：

• 禁用SMBv1

• 阻止TCP埠445、UDP埠137-138以及TCP埠139上的相關協議，從而阻止邊界設備在網路邊界的所有SMB版本。

計算機應急預備小組警告用戶和管理員，阻止或禁用SMB可能會無法訪問共享文件、數據或設備。應當權衡緩解措施，降低對用戶的潛在影響。

計算機應急預備小組提供的對策如下：

• 安裝微軟3月14日發布的MS17-010 SMB漏洞補丁。

• 啟用強大的垃圾郵件過濾器，防止網路釣魚電子郵件到達終端用戶，同時，使用發送者政策框架（SPF）、域名信息驗證、部署DMARC郵件驗證，並對發出的郵件內容進行簽名（DKIM）等技術驗證入站電子郵件，防止電子郵件欺騙行為。

• 掃描所有接收和發出的電子郵件，以檢測威脅，並過濾可執行文件到達終端用戶。

• 將反病毒和反惡意軟體解決方案設置為自動定期掃描。

• 管理特權賬戶的使用，實行最低許可權原則，僅在必要的時候讓用戶使用管理員賬戶。

• 通過最低許可權配置訪問控制，包括文件、目錄和網路共享許可權。如果用戶只需讀取特定文件，就不應當訪問這些文件、目錄或共享。

• 在通過電子郵件傳輸的Microsoft Office文件中，禁用宏腳本。考慮使用Office Viewer軟體打開通過電子郵件傳輸的Office文件，而不是完整的Office套件應用。

• 制定、研究並開展員工教育項目，培訓員工識別騙局、惡意鏈接和社交工程攻擊企圖。

• 對網路進行嘗試滲透測試（每年至少一次），如果可行，儘可能經常進行滲透測試。

• 測試備份，以確保使用時能正常工作。

• 利用基於主機的防火牆，並阻止工作站到工作站的通信。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱[email protected]
@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。