Petya勒索软件突袭 Check Point 发表分析简报及支招应对方法

  1. 云栖社区>
  2. 博客>
  3. 正文

Petya勒索软件突袭 Check Point 发表分析简报及支招应对方法

青衫无名 2017-09-01 11:44:00 浏览1053
展开阅读全文

勒索软件攻击一波未平,一波又起,正当全球企业对WannaCry犹有余悸之际,6月27日又爆发了一起新一轮的大规模勒索软件攻击,目前影响最严重的是乌克兰,包括乌克兰中央银行、政府机构和私人企业都受到攻击。

尽管这轮攻击所采用恶意软件尚未确定,但一些研究人员推测它是Petya的一种变体,此种勒索软件不是针对单个文件而是对整个硬盘驱动器进行加密。 Check Point以色列捷邦安全软件科技有限公司的分析显示,这次攻击也采用了Loki Bot来进行凭据盗窃。分析还发现此款勒索软件采用“横向移动”(Lateral Movement) 方式进行攻击,能充分利用服务器信息区块(SMB)的漏洞。

Check Point研究实验室发表的简报详情如下:

  • Loki-Bot恶意软件的感染链如下:RTF文件下载受感染的xls,其中包含恶意的js脚本,从而从另一个放置区域提取可执行文件,可执行文件是Loki Bot。
  • Petya勒索软件利用SMB漏洞进行“横向移动”攻击,这与WannaCry中使用的漏洞有点不同。我们会持续更新具体细节。
  • Loki Bot的感染载体如下:包含RTF文件的恶意电子邮件。 RTF利用CVE-2017-0199下载xlsx诱饵文件。 “xlsx”文件的二进制文件包含由RTF文件执行的js脚本。当它运行时,脚本下载Loki的exe文件并执行它。
  • 目前仍然没有确定Loki-Bot与勒索软件攻击有关。
  • Petya的“横向移动”利用服务器信息区块(SMB)协议和HTTP流量,受感染的机器通过发送ARP请求扫描内部网络。然后对此进行回应的机器将启动SMB通信,稍后添加HTTP通信。最终,这两台机器都被加密,通信停止。

Check Point正密切关注该勒索病毒的攻击,并会及时发表更新简报。以下是Check Point 关于抗拒勒索软件的方案建议:

  • 采用Check Point SandBlast, SandBlast Agent和Anti-Bot防御Petya勒索软件和Loki Bot的攻击
  • CheckPoint IPS可防御相关的SMB漏洞

Sandblast:https://www.checkpoint.com/products/sandblast-network-security/

Sandblast Agent:https://www.checkpoint.com/products/endpoint-sandblast-agent/

Anti-bot:https://www.checkpoint.com/products/anti-bot-software-blade/

IPS:https://www.checkpoint.com/products/ips-software-blade/

点击以下链接查看我们的深度分析:

http://freports.us.checkpoint.com/petyavar/


原文发布时间为:2017年6月30日

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

网友评论

登录后评论
0/500
评论
青衫无名
+ 关注