摘要

自2017年5月份經(jīng)歷勒索軟件WannaCry的大規模爆發(fā)后，思科Talos團隊在6月27日發(fā)現了最新的勒索軟件變種，暫命名為Nyetya。目前已經(jīng)在多個(gè)國家發(fā)現了這個(gè)勒索軟件的感染事件，思科Talos團隊正在積極分析并不斷更新最新的防護信息。

勒索軟件Nyetya概述

基于新勒索軟件變種的樣本分析顯示，勒索軟件借助了之前被多次利用的永恒之藍（EternalBlue）攻擊工具和Windows系統的WMI進(jìn)行傳播。與之前出現的WannaCry不同，此次的變種中沒(méi)有包含外部掃描模塊，而是利用了psexec管理工具在內網(wǎng)進(jìn)行傳播。

目前還沒(méi)有完全確定該勒索軟件的傳播源頭和路線(xiàn)，基于目前的分析，我們認為這個(gè)勒索軟件的傳播和感染，很可能與烏克蘭的一款被稱(chēng)為MeDoc的會(huì )計管理軟件的升級更新系統有關(guān)。思科Talos還在持續分析該勒索軟件的傳播源頭。

思科Talos在今年4月份就發(fā)布了保護針對MS17-010攻擊的Snort規則，對于此次發(fā)現的變種Talos已經(jīng)將勒索軟件的變種加入到了AMP（Advanced Malware Protection）的黑名單列表中。

勒索軟件Nyetya的主要功能

思科Talos在被勒索軟件感染的系統上，發(fā)現了一個(gè)名為Perfc.dat的文件，該文件的功能是進(jìn)一步感染其他系統，它包含了一個(gè)還未被命名的模塊，暫命名為#1，其功能是通過(guò)Windows API AdjustTokenPrivileges獲取當前賬號的管理員權限，一旦成功，該勒索軟件將重寫(xiě)磁盤(pán)的啟動(dòng)分區記錄MBR（Master Boot Record）。無(wú)論MBR重寫(xiě)成功與否，在完成感染一小時(shí)后，都將自動(dòng)重啟系統。

在勒索軟件散播過(guò)程中，利用了NetServerEnum遍歷所有可見(jiàn)的主機，然后掃描所有開(kāi)放了TCP 139端口的主機，并將這些主機加入到易感染主機列表中。

一旦主機被感染后，勒索軟件會(huì )使用以下三種方式進(jìn)行傳播：

EternalBlue – 永恒之藍，與WannCry相同的入侵方式。

Psexec – Windows系統自帶的管理工具。

WMI - Windows Management Instrumentation，Windows系統自帶的組件。

以上方式被用于勒索軟件安裝和運行perfc.bat程序，進(jìn)一步感染其他內網(wǎng)主機。

利用當前用戶(hù)的Window Token信息，在被感染的主機上psexec被用于運行下列指令來(lái)安裝勒索軟件（Talos還在分析獲得Window Token的方式）：

利用當前賬號的用戶(hù)名和密碼信息，WMI被用于執行下面命令，實(shí)現上述相同的功能（Talos還在分析獲得用戶(hù)的憑證信息的途徑）：

思科發(fā)布最新防護規則

目前思科已經(jīng)能夠提供對該勒索軟件防護的產(chǎn)品包括：

思科NGIPS/Snort Rules提供了下列Snort規則檢測該勒索軟件：

42944 - OS-WINDOWS Microsoft Windows SMB remote code execution attempt

42340 - OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt

下列NGIPS/Snort Rules提供感染流量的檢測告警：

5718 - OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param/Count OS-WINDOWS attempt

1917 - INDICATOR-SCAN UPnP service discover attempt

42231 - FILE-OFFICE RTF url moniker COM file download attempt

5730 - OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt

AMP發(fā)布了感染指數告警：

W32.Ransomware.Nyetya.Talos

SHA256哈希值：

027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

思科勒索軟件防護促銷(xiāo)包發(fā)布

為了更好地幫助各行業(yè)用戶(hù)應對后續可能發(fā)生的勒索軟件攻擊變種和升級危機，思科大中華區安全部門(mén)在中國大陸推出了勒索軟件防護Starter Bundle，整合了目前思科安全Firepower 2110、郵件安全設備C190、AMP高級惡意軟件防護等產(chǎn)品，從Web和Email這兩個(gè)勒索軟件最重要的傳播途徑進(jìn)行全面防護。

在此Starter Bundle中，必選組件部分包括：

Firepower 2110 --在互聯(lián)網(wǎng)出口檢測并阻擋惡意勒索軟件的進(jìn)入

郵件安全網(wǎng)關(guān)C190 --檢測并阻擋惡意勒索軟件通過(guò)郵件的方式進(jìn)入網(wǎng)絡(luò )

AMP End Point--安裝在用戶(hù)的終端的軟件，阻擋勒索軟件的惡意行為

在此Starter Bundle中，選配組件部分包括：

Stealthwatch--快速發(fā)現網(wǎng)絡(luò )異常，定位受感染的主機

高級安全服務(wù)--提供遠程漏洞掃描和釣魚(yú)軟件模擬攻擊測試的高級服務(wù)

思科Talos團隊介紹

思科Talos團隊由業(yè)界領(lǐng)先的網(wǎng)絡(luò )安全專(zhuān)家組成，他們分析評估黑客活動(dòng)、入侵企圖、惡意軟件以及漏洞的最新趨勢。ClamAV團隊和一些標準的安全工具書(shū)的作者中最知名的安全專(zhuān)家，都是思科Talos的成員。該團隊的專(zhuān)長(cháng)涵蓋軟件開(kāi)發(fā)、逆向工程、漏洞分析、惡意軟件的調查和情報收集等。思科Talos團隊同時(shí)也負責維護Snort.org，ClamAV，SenderBase.org和SpamCop中的官方規則集，同時(shí)得到了社區的龐大資源支持，使得它成為網(wǎng)絡(luò )安全行業(yè)最大的安全研究團隊。思科Talos作為思科安全情報的主要發(fā)掘提供團隊，為思科的安全研究和安全產(chǎn)品服務(wù)提供了強大的后盾支持，幫助思科的安全解決方案阻擋最新最復雜的攻擊。