盡管這輪攻擊所采用惡意軟件尚未確定,但一些研究人員推測它是Petya的一種變體,此種勒索軟件不是針對單個文件而是對整個硬盤驅(qū)動器進行加密。 Check Point以色列捷邦安全軟件科技有限公司的分析顯示,這次攻擊也采用了Loki Bot來進行憑據(jù)盜竊。分析還發(fā)現(xiàn)此款勒索軟件采用“橫向移動”(Lateral Movement) 方式進行攻擊,能充分利用服務器信息區(qū)塊(SMB)的漏洞。
Check Point研究實驗室發(fā)表的簡報詳情如下:
- Loki-Bot惡意軟件的感染鏈如下:RTF文件下載受感染的xls,其中包含惡意的js腳本,從而從另一個放置區(qū)域提取可執(zhí)行文件,可執(zhí)行文件是Loki Bot。
- Petya 勒索軟件利用SMB漏洞進行“橫向移動”攻擊,這與WannaCry中使用的漏洞有點不同。我們會持續(xù)更新具體細節(jié)。
- Loki Bot的感染載體如下:包含RTF文件的惡意電子郵件。 RTF利用CVE-2017-0199下載xlsx誘餌文件。 “xlsx”文件的二進制文件包含由RTF文件執(zhí)行的js腳本。當它運行時,腳本下載Loki的exe文件并執(zhí)行它。
- 目前仍然沒有確定Loki-Bot與勒索軟件攻擊有關。
- Petya的“橫向移動”利用服務器信息區(qū)塊(SMB)協(xié)議和HTTP流量,受感染的機器通過發(fā)送ARP請求掃描內(nèi)部網(wǎng)絡。然后對此進行回應的機器將啟動SMB通信,稍后添加HTTP通信。最終,這兩臺機器都被加密,通信停止。
Check Point正密切關注該勒索病毒的攻擊,并會及時發(fā)表更新簡報。以下是Check Point 關于抗拒勒索軟件的方案建議:
- 采用Check Point SandBlast, SandBlast Agent 和 Anti-Bot防御 Petya 勒索軟件和Loki Bot的攻擊
- Check Point IPS可防御相關的SMB漏洞
- Sandblast: https://www.checkpoint.com/products/sandblast-network-security/
- Sandblast Agent:https://www.checkpoint.com/products/endpoint-sandblast-agent/
- Anti-bot:https://www.checkpoint.com/products/anti-bot-software-blade/
- IPS:https://www.checkpoint.com/products/ips-software-blade/
點擊以下鏈接查看我們的深度分析:
http://freports.us.checkpoint.com/petyavar/
http://freports.us.checkpoint.com/petyavar/
Check Point以色列捷邦安全軟件科技有限公司
Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專注于安全的解決方案提供商,為各界客戶提供業(yè)界領先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡到移動設備的安全保護,以及最全面和可視化的安全管理方案。Check Point現(xiàn)為十多萬不同規(guī)模的組織提供安全保護。
