Petya勒索軟件變種Nyetya全球爆發(fā)、思科Talos率先響應(yīng)

　　今天，一個(gè)新的惡意軟件版本已經(jīng)浮出水面，這與Petya不同，人們已經(jīng)通過Petrwrap和GoldenEye等各種名稱提到了它。Talos正在將這種新的惡意軟件變種識(shí)別為Nyetya。該樣本利用EternalBlue，EternalRomance，WMI和PsExec在受影響的網(wǎng)絡(luò)中進(jìn)行橫向移動(dòng)。此行為稍后在“惡意軟件功能”下的博客中詳細(xì)介紹。與WannaCry不同，Nyetya似乎不包含外部掃描組件。

　　識(shí)別初始載體已被證明更具挑戰(zhàn)性。電子郵件向量的早期報(bào)告無法確認(rèn)。基于觀察到的野外行為，缺乏一個(gè)已知的，可行的外部擴(kuò)散機(jī)制和其他研究，我們認(rèn)為有些感染可能與烏克蘭稅務(wù)會(huì)計(jì)軟件MeDoc的軟件更新系統(tǒng)有關(guān)。Talos繼續(xù)研究這種惡意軟件的初始向量。

　　與所有的贖金一樣，Talos不建議支付贖金。使用這個(gè)特定的贖金軟件，應(yīng)該注意的是，用于支付驗(yàn)證和解密密鑰共享的相關(guān)郵箱已經(jīng)被posteo.de網(wǎng)站關(guān)閉了。這使得任何成功的付款無效 - 這個(gè)攻擊者沒有可用的通信方法用于驗(yàn)證受害者的付款或一旦收到贖金付款后分發(fā)解密密鑰。惡意軟件還沒有使用直接連接命令和遠(yuǎn)程解鎖控制的方法。Nyetya不是一塊贖金（這意味著你通過支付贖金得到你的數(shù)據(jù)），更多的是一個(gè)“擦除”系統(tǒng)，用于簡單地擦除系統(tǒng)。

　　負(fù)責(zé)傳播惡意軟件的Perfc.dat在其資源部分包含一個(gè)嵌入式可執(zhí)行文件。可執(zhí)行文件作為臨時(shí)文件放在用戶的％TEMP％文件夾中，并使用命名管道參數(shù)（包含GUID）運(yùn)行。主要可執(zhí)行文件使用這個(gè)命名管道與刪除的可執(zhí)行文件通信 例如：

　　丟棄的。tmp可執(zhí)行文件似乎基于Mimikatz，這是一種流行的開源工具，用于使用幾種不同的技術(shù)從計(jì)算機(jī)內(nèi)存中恢復(fù)用戶憑據(jù)。但是，Talos已經(jīng)確認(rèn)可執(zhí)行文件不是Mimikatz工具。

　　然后，恢復(fù)的憑據(jù)用于使用WMIC和PsExec在遠(yuǎn)程系統(tǒng)上啟動(dòng)惡意軟件。例如：

　　Perfc.dat包含進(jìn)一步破壞系統(tǒng)所需的功能，并包含一個(gè)名為＃1的未命名導(dǎo)出功能。該庫嘗試通過Windows API AdjustTokenPrivileges為當(dāng)前用戶獲取管理員權(quán)限（SeShutdowPrivilege和SeDebugPrivilege）。如果成功，Nyetya將覆蓋Windows中稱為PhysicalDrive 0的磁盤驅(qū)動(dòng)器上的主引導(dǎo)記錄（MBR）。無論惡意軟件是否成功覆蓋MBR，然后將繼續(xù)通過schtasks創(chuàng)建一個(gè)計(jì)劃任務(wù)，以在感染后一個(gè)小時(shí)重啟系統(tǒng)。

　　作為傳播過程的一部分，惡意軟件通過NetServerEnum API調(diào)用枚舉網(wǎng)絡(luò)上的所有可見機(jī)器，然后掃描打開的TCP 139端口。這樣做是為了編譯暴露此端口的設(shè)備列表，并可能容易受到影響。

　　Nyetya有幾種機(jī)制，一旦設(shè)備被感染就被用來傳播：

　　對于尚未使用MS17-010的系統(tǒng)，EternalBlue和EternalRomance漏洞利用來破壞系統(tǒng)。針對受害者系統(tǒng)發(fā)起的漏洞取決于預(yù)期目標(biāo)的操作系統(tǒng)。

　　PsExec用于使用當(dāng)前用戶的Windows令牌執(zhí)行以下指令（其中wxyz是IP地址）（從“恢復(fù)用戶證書”部分）部分，以在聯(lián)網(wǎng)的設(shè)備上安裝惡意軟件。

　　WMI用于執(zhí)行以下命令，執(zhí)行與上述相同的功能，但使用當(dāng)前用戶的用戶名和密碼（作為用戶名和密碼），從上述“恢復(fù)用戶憑證”部分檢索。

　　一旦系統(tǒng)成功受損，惡意軟件會(huì)使用2048位RSA加密來加密主機(jī)上的文件。此外，惡意軟件使用以下命令清除受感染設(shè)備上的事件日志：

　　MBR覆蓋的系統(tǒng)在重新啟動(dòng)時(shí)會(huì)看到此消息。

　　由于Nyetya試圖在受感染的機(jī)器上覆蓋MBR，Talos使用MBRFilter進(jìn)行測試，以防止系統(tǒng)MBR允許進(jìn)行任何更改。該測試證明是成功的，并且機(jī)器MBR在良好狀態(tài)下保持完好。對于可以這樣做的用戶或企業(yè)，我們建議使用MBRFilter。請注意，MBRFilter是Talos的開源項(xiàng)目，不提供任何保證或擔(dān)保。

　　Cisco客戶通過以下產(chǎn)品和服務(wù)受到Nyetya的保護(hù)。

　　高級惡意軟件防護(hù)（AMP）非常適合防止這些威脅演員使用的惡意軟件的執(zhí)行。

　　諸如NGFW，NGIPS和Meraki MX等網(wǎng)絡(luò)安全設(shè)備可以檢測與此威脅相關(guān)的惡意活動(dòng)。

　　AMP Threat Grid可幫助識(shí)別惡意二進(jìn)制代碼，并對所有Cisco Security產(chǎn)品構(gòu)建保護(hù)。

　　電子郵件和網(wǎng)絡(luò)目前還沒有被識(shí)別為攻擊媒介。此外，目前還沒有與此惡意軟件相關(guān)的已知C2元素。惡意軟件（如果通過網(wǎng)絡(luò)上的這些系統(tǒng)傳輸）將被阻止。

　　NGIPS / Snort規(guī)則

　　以下NGIPS / Snort規(guī)則檢測此威脅：

　　以下NGIPS / Snort規(guī)則也是感染流量的指標(biāo)：

　　威脅網(wǎng)格能夠檢測與Nyetya相關(guān)的惡意軟件樣本為惡意軟件。