欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

深度剖析Petya病毒:反社会人格的恶性病毒 只为破坏不为牟利

来源:安全脉搏 作者:佚名 时间:2017-07-02 TAG: 我要投稿

一、概述

6月27日晚间,代号为“Petya”的勒索病毒肆虐全球,根据外国媒体报道,俄罗斯石油公司Rosneft、乌克兰国家储蓄银行和政府系统都受到了攻击,仅俄、乌两国就有80多家公司被该病毒感染,就连乌克兰副总理的电脑也不幸中招。其他受影响的国家包括英国、印度、荷兰、西班牙、丹麦等。

经过深度分析,火绒安全团队惊讶地发现,Petya和以往的勒索病毒有很大不同——病毒作者精心设计制作了传播、破坏的功能模块,勒索赎金的模块却制作粗糙、漏洞百出,稍有勒索病毒的常识就知道,病毒作者几乎不太可能拿到赎金——或者说,病毒作者根本没打算得到赎金。

这种行为非常不可思议,火绒安全工程师认为,与其说Petya是勒索病毒,不如说它是披着勒索病毒外衣的反社会人格的恶性病毒,就像当然臭名昭著的CIH等恶性病毒一样,损人不利己,以最大范围的传播和攻击破坏电脑系统为目的。

从传播能力来看,进入内网环境的Petya传播方式非常丰富:利用“永恒之蓝”和“永恒浪漫”两个漏洞进行传播;还通过内网渗透使用系统的WMIC和Sysinternals的PsExec传播……所以,即使电脑修复了“永恒之蓝”漏洞,只要内网有中毒电脑,仍有被感染的危险。因此,Petya的传播能力和威胁范围远远超过5月份震惊世界的WannaCry病毒。

从破坏能力来看,Petya除了像其他勒索病毒一样加密锁定文件之外,还会修改硬盘主引导记录(MBR)、加密硬盘文件分配表(MFT),导致电脑不能正常启动。

Petya病毒开出了常规的价值300美金的比特币赎金,但是却没有像常规勒索病毒一样向受害者提供可靠、便捷的付款链接,而是选择用公开的电子信箱来完成赎金支付,很显然,这样做特别粗糙和脆弱。病毒爆发后,邮件账户立刻被供应商Posteo关闭,导致赎金交付的流程中断。相比于“精巧”、多样的传播和破坏功能,病毒作者对赎金支付功能很不重视,用一种不可靠、简单的方式“敷衍了事”,似乎并不关心能否收到赎金。

目前全球范围内没有一例成功支付赎金,进而解锁了文件和系统的报告。该病毒不光和其他勒索病毒迥然不同,更是违逆了近10多年来,各种病毒、木马大都已牟利为目的的“行业潮流”。

在病毒爆发的第一时间,火绒安全团队就紧急升级了病毒库。下载“火绒安全软件”,保持默认的自动升级和防御设置即可拦截病毒。最后再强调一句,鉴于赎金支付流程已经中断,火绒安全团队建议受害者别再去尝试支付赎金。

二、PetyanotPetya

火绒团队通过分析发现,此次攻击事件同上次的“WannaCry”类似,利用漏洞使得传播速度更快,但是对勒索病毒更应该关注的支付赎金流程都是草草处理,这一点很奇怪。尤其是新“Petya”,在内网传播功能上病毒更是花费了心思。

新旧两个版本的“Petya”相比,旧版本“Petya”的更像是一个真正的勒索病毒,在支付赎金的手段上,它会为不同用户生成不同的暗网地址用户支付赎金。而新版本的“Petya”反而弱化了支付赎金流程,只是提供了一个简单的邮箱和黑客联系,如果病毒的目的是为了勒索,是旧版本的“Petya”升级,应该没有必要去掉这个流程。

旧版本“Petya”的支付赎金界面

新版本“Petya”的支付赎金界面

另外”WannaCry”和新“Petya”两个病毒通过勒索文件所得到的赎金有限,几乎所有的安全专家第一时间都建议不要支付赎金。普遍认为的原因是,在勒索病毒“Petya”蔓延后,电邮提供商Posteo直接封掉了“Petya”黑客收取赎金时用到的电子邮箱帐号。病毒制作者无法收到邮件,也就无法提供解密密钥。火绒团队分析后认为,更深的原因是即使该邮箱存在,使用邮件方式去确认感染数量众多的用户是否支付赎金,也不合乎常理。

病毒作者留下的联系邮箱,和模拟旧版本“Petya”相似的勒索界面还有加密方法,更像是一个个的“幌子”,用于掩盖病毒疯狂传播造成更大“破坏”的目的。

新“Petya”病毒到底是利用CVE2017-0199漏洞攻击,或是利用MEDOC更新服务器推送病毒,无论这两种说法哪一个真的,都可以说明黑客精心设计和制作的攻击都不像是为了赚取赎金,更像是为了快速传播并造成更多损害。

新“Petya”的作者熟悉内网渗透流程,同“WannaCry”的传播相比,即使安装了Windows的全部补丁也不能阻止新“Petya”在内网的传播。“WannaCry”和“Petya”两次病毒的大面积爆发,更像是黑客攻击“预演”和“实战”,是黑客对所有人的“力量展示”。

三、新“Petya”的传播分析

Petya病毒除了使用通过漏洞进行传播之外,还具有很强的内网渗透能力。其主要的内网传播方式主要有:

  • 1.该病毒维护着一个主机密码表,通过CredEnumerateW函数获取用户凭据和使用mimikatz工具获取用户名密码这两种方式对密码表进行填充。其获取的密码表会在用于进行传播并使用wmic和psexec进行远程执行。
  • 2.将其所有可以访问的主机都加入到另一个列表中,对列表中的每一个主机都进行一次远程传播和执行的尝试。由于同属于同一局域网中,有可能在被感染主机上依然存在对其他主机的网络访问权限,病毒利用该权限对内网环境进行传播。
  • 3.通过EnternalBlue和EnternalRomance漏洞进行传播。

下面针对上述三种传播方式进行详细说明:

1.通过窃取密码进行远程传播和执行。

首先调用释放出来的mimikatz获取本地计算机用户名密码,之后通过读取命名管道的方式进行读取加入到密码表中。如下图所示:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载