欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

勒索病毒再次大规模爆发 迈克菲安利最全技术分析

来源:本站整理 作者:佚名 时间:2017-06-29 TAG: 我要投稿

昨天,一个新的针对公司网络的勒索软件在全球爆发。这款勒索软件新变种名为 Petya,通过加密文件和计算机的主引导记录 (MBR) 来迫使机器无法使用。
实际上,Petya 勒索软件在 2016 年 3 月份已经出现,与其它常见的勒索软件不同,除了加密文件外,它还加密系统的主引导记录。这一“双管齐下”致使磁盘无法被访问,而且大多数用户都无法恢复任何内容。
昨天发现的这一新变种还采用了一个多月之前爆发的 WannaCry 的传播机制,从而进一步加大了其破坏力。Petya 以一个只有一个未命名导出的 Windows DLL 的形式出现,并使用同样的“永恒之蓝”漏洞利用技术来试图感染远程机器,如下图所示。我们可以看到在发动漏洞利用攻击之前的典型操作,和 WannaCry 类似。

一旦这一漏洞利用攻击成功,恶意软件将会自我复制到远程机器的 C:\Windows 目录下,然后使用 rundll32.exe 自我启动。这一进程是在被永恒之蓝漏洞利用包注入的 Windows 进程 lsass.exe 下执行。
由于之前 WannaCry 的大规模爆发使得许多公司部署了最新的 Windows 补丁,因此,Petya 引用了一些新的传播机制来使攻击的成功率更高。其中一个方法是是试图将自己和一个 psexec.exe 的副本复制到远程机器的 ADMIN$ 文件夹。如果成功,那么 Petya 就能借助一个远程调用将 psexec.exe 作为一项服务启动,如下图所示:

上图显示了正在将该 DLL 复制到远程主机。下图则显示了正在复制 psexec,且正在试图使用 svcctl 远程过程调用来启动 psexec。

两个文件都复制到 C:\Windows 文件夹。
Petya 新变种所使用的另一个方法是借助盗取的用户凭据,使用 Windows 管理规范命令行 (WMIC) 在远程机器上直接执行该样本。Petya 所使用的命令类似下面的命令行:
exe %s /node:”%ws” /user:”%ws” /password:”%ws” process call create “C:\Windows\System32\rundll32.exe \”C:\Windows\%s\” #1
“%ws” 代表一个宽字符串变量,根据当前的机器及被利用的用户凭据来生成。
一旦该恶意软件在机器上运行,它将会把 psexec.exe 投放到本地系统,成为 c:\windows\dllhost.dat,并将另一个 .EXE(根据操作系统不同,分别为 32 位或 64 位版本)加入到 %TEMP% 文件夹。这一二进制文件是某个密码恢复工具的修改版本,类似于 Mimikatz 或 LSADump。

上述代码显示了在密码提取过程中使用的 LSA 函数。
此 .EXE 以一个 PIPE 名称作为参数,类似于下面的内容:
\\.\pipe\{df458642-df8b-4131-b02d-32064a2f4c19}
这一 PIPE 被 Petya 用来接收窃取的密码,这些密码将被用于上面提到的 WMIC。
所有这些文件都以压缩格式存在主 DLL 的资源部分,如下图所示:

随后,Petya 新变种将加密本地文件及 MBR,并安装一个计划任务在使用 schtasks.exe 一小时后重新启动机器。如下图所示:

Petya 新变种所使用的加密技术是带有 RSA 的 AES-128。这一点与之前的变种不同,它们使用的是 SALSA20。用于加密文件加密密钥的RSA公钥是硬编码的,如下图所示:

该恶意软件还试图通过清除事件日志来隐藏其踪迹,执行的命令如下:
wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:
在机器重启后,一个随机的信息将会出现在屏幕上,索取价值 300 美元的比特币:

截止到目前,此帐户只收到少数交易,但可以预见,随着更多的人发现自己被攻击后,将会有越来越多的交易:

我们将继续关注这一勒索软件,并持续提供更多信息。目前,使用 McAfee ENS 10.5 和 WSS 的迈克菲用户,请务必将产品更新到最新状态,同时借助来自迈克菲全球威胁智能感知系统 (McAfee GTI) 的保护下,应将不会被已知恶意软件样本攻击。(具体请参见 KB 89540 文档,迈克菲也将持续进行更新:https://kc.mcafee.com/corporate/index?page=content&id=KB89540)

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载