FireEye成功检测并拦截Petya - 行业资讯 - 广州科明大同科技有限公司丨20多年网络安全解决方案经验

行业资讯

您当前所在的位置:首页>>动态资讯>>行业资讯

FireEye成功检测并拦截Petya

点击数:8542017-06-29 11:27:51 来源:广州科明大同科技有限公司丨20多年网络安全解决方案经验

新闻摘要:2017年6月27日,欧洲的许多组织汇报了由于Petya ransomware造成的重大破坏。根据初始信息,Petya ransomware的这种变体可能会通过上个月在WannaCry攻击中使用的EternalBlue漏洞进行传播。


2017627日,欧洲的许多组织汇报了由于Petya ransomware造成的重大破坏。

根据初始信息,Petya ransomware的这种变体可能会通过上个月在WannaCry攻击中使用的EternalBlue漏洞进行传播。

 

可信来源和开源报告表明,该活动的初始感染载体是MeDoc软件套件的一个中毒的更新,

这是许多乌克兰组织使用的软件包。我们在10:12 发生的受害者网络中观察到,MeDoc软件更新的时间安排在627日,

与初始报告的ransomware攻击一致,并且时间与通过PSExec进行横向移动相关。

另外,俄罗斯MeDoc网站目前正在发布一条警告消息:“我们的服务器上发生病毒攻击,为您造成临时不便而道歉!”

 

我们对受害网络组件和网络流量初步分析表明,使用了EternalBlue SMB漏洞的修改版本,至少部分与WMI命令,

MimiKatzPSExec一起横向扩散以传播其他系统。与此活动相关组件的分析仍在进行中,随着新信息的提供,我们将更新此博客。

 

FireEye已经确认了与这次攻击相关的以下两个示例:

·         71b6a493388e7d0b40c83ce903bc6b04

·         e285b6ce047015943e685e6638bd837e


FireEye已经动员了一个社区保护活动,并继续调查这些报告和这些破坏性事件涉及的威胁。  

FireEye as a Service(FaaS)积极参与监控客户环境。

 

虽然FireEye检测利用恶意技术的行为分析,我们的团队已经创建了一个YARA规则,

以帮助组织追溯地搜索恶意软件的环境,并检测未来的活动。

我们的团队专注于恶意软件操作的核心技术:SMB驱动器使用,想要赎金用的语言,

底层功能和API以及用于横向移动的系统实用程序。 可以在以下条件部分修改阈值。

 

rule FE_CPE_MS17_010_RANSOMWARE {
meta:version="1.1"
      //filetype="PE"
      author="Ian.Ahl@fireeye.com @TekDefense, Nicholas.Carr@mandiant.com @ItsReallyNick"
      date="2017-06-27"
      description="Probable PETYA ransomware using ETERNALBLUE, WMIC, PsExec"
strings:
      // DRIVE USAGE
      $dmap01 = "\\\\.\\PhysicalDrive" nocase ascii wide
      $dmap02 = "\\\\.\\PhysicalDrive0" nocase ascii wide
      $dmap03 = "\\\\.\\C:" nocase ascii wide
      $dmap04 = "TERMSRV" nocase ascii wide
      $dmap05 = "\\admin$" nocase ascii wide
      $dmap06 = "GetLogicalDrives" nocase ascii wide
      $dmap07 = "GetDriveTypeW" nocase ascii wide

      // RANSOMNOTE
      $msg01 = "WARNING: DO NOT TURN OFF YOUR PC!" nocase ascii wide
      $msg02 = "IF YOU ABORT THIS PROCESS" nocase ascii wide
      $msg03 = "DESTROY ALL OF YOUR DATA!" nocase ascii wide
      $msg04 = "PLEASE ENSURE THAT YOUR POWER CABLE IS PLUGGED" nocase ascii wide
      $msg05 = "your important files are encrypted" ascii wide
      $msg06 = "Your personal installation key" nocase ascii wide
      $msg07 = "worth of Bitcoin to following address" nocase ascii wide
      $msg08 = "CHKDSK is repairing sector" nocase ascii wide
      $msg09 = "Repairing file system on " nocase ascii wide
      $msg10 = "Bitcoin wallet ID" nocase ascii wide
      $msg11 = "wowsmith123456@posteo.net" nocase ascii wide
      $msg12 = "1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX" nocase ascii wide
      $msg_pcre = /(en|de)crypt(ion|ed\.)/     

      // FUNCTIONALITY, APIS
      $functions01 = "need dictionary" nocase ascii wide
      $functions02 = "comspec" nocase ascii wide
      $functions03 = "OpenProcessToken" nocase ascii wide
      $functions04 = "CloseHandle" nocase ascii wide
      $functions05 = "EnterCriticalSection" nocase ascii wide
      $functions06 = "ExitProcess" nocase ascii wide
      $functions07 = "GetCurrentProcess" nocase ascii wide
      $functions08 = "GetProcAddress" nocase ascii wide
      $functions09 = "LeaveCriticalSection" nocase ascii wide
      $functions10 = "MultiByteToWideChar" nocase ascii wide
      $functions11 = "WideCharToMultiByte" nocase ascii wide
      $functions12 = "WriteFile" nocase ascii wide
      $functions13 = "CoTaskMemFree" nocase ascii wide
      $functions14 = "NamedPipe" nocase ascii wide
      $functions15 = "Sleep" nocase ascii wide // imported, not in strings     

      // COMMANDS
      //  -- Clearing event logs & USNJrnl
      $cmd01 = "wevtutil cl Setup" ascii wide nocase
      $cmd02 = "wevtutil cl System" ascii wide nocase
      $cmd03 = "wevtutil cl Security" ascii wide nocase
      $cmd04 = "wevtutil cl Application" ascii wide nocase
      $cmd05 = "fsutil usn deletejournal" ascii wide nocase
      // -- Scheduled task
      $cmd06 = "schtasks " nocase ascii wide
      $cmd07 = "/Create /SC " nocase ascii wide
      $cmd08 = " /TN " nocase ascii wide
      $cmd09 = "at %02d:%02d %ws" nocase ascii wide
      $cmd10 = "shutdown.exe /r /f" nocase ascii wide
      // -- Sysinternals/PsExec and WMIC
      $cmd11 = "-accepteula -s" nocase ascii wide
      $cmd12 = "wmic"
      $cmd13 = "/node:" nocase ascii wide
      $cmd14 = "process call create" nocase ascii wide

condition:
      // (uint16(0) == 0x5A4D)
      3 of ($dmap*)
      and 2 of ($msg*)
      and 9 of ($functions*)
      and 7 of ($cmd*)
}         

FireEye已经阅读了报告,恶意软件是通过电子邮件诱惑传播的,

其中包含恶意的Office文档附件或链接使用CVE-2017-0199的受感染文档。 

我们相信,这份文件与目前的活动爆发无关,我们没有看到CVE-2017-0199相关的其他指标。 

虽然FireEye检测到这些运动,但我们没有观察到与Petya攻击的已知受害者有任何关联。

 

启示

这一活动强调了组织保护其系统免受EternalBlue漏洞和ransomware感染的重要性。 

MicrosoftWannaCry ransomware的上下文中提供了一个用于保护Windows系统免受EternalBlue漏洞利用的指南。 

强大的备份策略,适当的网络分段和空中隔离以及其他针对ransomware的防御可以帮助组织捍卫ransomware分发操作,并快速修复感染。

 

This entry was posted on Tue Jun 27 17:30:00 EDT 2017 and filed under BlogChristopher GlyerExploitHomepage CarouselIan AhlJohn MillerLatest Blog PostsMatt AllenNick CarrRansomware and Threat Research.
【责任编辑:FireEye】(Top) 返回页面顶端
分享到:
0

QQ联系

  • FireEye       QQ
  • SonicWALL QQ
  • 售后服务     QQ