今天,一个新的恶意软件版本已经浮出水面,这与Petya不同,人们已经通过Petrwrap和GoldenEye等各种名称提到了它。Talos正在将这种新的恶意软件变种识别为Nyetya。该样本利用EternalBlue,EternalRomance,WMI和PsExec在受影响的网络中进行横向移动。此行为稍后在“恶意软件功能”下的博客中详细介绍。与WannaCry不同,Nyetya似乎不包含外部扫描组件。
识别初始载体已被证明更具挑战性。电子邮件向量的早期报告无法确认。基于观察到的野外行为,缺乏一个已知的,可行的外部扩散机制和其他研究,我们认为有些感染可能与乌克兰税务会计软件MeDoc的软件更新系统有关。Talos继续研究这种恶意软件的初始向量。
与所有的赎金一样,Talos不建议支付赎金。使用这个特定的赎金软件,应该注意的是,用于支付验证和解密密钥共享的相关邮箱已经被posteo.de网站关闭了。这使得任何成功的付款无效 - 这个攻击者没有可用的通信方法用于验证受害者的付款或一旦收到赎金付款后分发解密密钥。恶意软件还没有使用直接连接命令和远程解锁控制的方法。Nyetya不是一块赎金(这意味着你通过支付赎金得到你的数据),更多的是一个“擦除”系统,用于简单地擦除系统。
恢复用户证书
负责传播恶意软件的Perfc.dat在其资源部分包含一个嵌入式可执行文件。可执行文件作为临时文件放在用户的%TEMP%文件夹中,并使用命名管道参数(包含GUID)运行。主要可执行文件使用这个命名管道与删除的可执行文件通信 例如:
丢弃的。tmp可执行文件似乎基于Mimikatz,这是一种流行的开源工具,用于使用几种不同的技术从计算机内存中恢复用户凭据。但是,Talos已经确认可执行文件不是Mimikatz工具。
然后,恢复的凭据用于使用WMIC和PsExec在远程系统上启动恶意软件。例如:
恶意软件功能
Perfc.dat包含进一步破坏系统所需的功能,并包含一个名为#1的未命名导出功能。该库尝试通过Windows API AdjustTokenPrivileges为当前用户获取管理员权限(SeShutdowPrivilege和SeDebugPrivilege)。如果成功,Nyetya将覆盖Windows中称为PhysicalDrive 0的磁盘驱动器上的主引导记录(MBR)。无论恶意软件是否成功覆盖MBR,然后将继续通过schtasks创建一个计划任务,以在感染后一个小时重启系统。
作为传播过程的一部分,恶意软件通过NetServerEnum API调用枚举网络上的所有可见机器,然后扫描打开的TCP 139端口。这样做是为了编译暴露此端口的设备列表,并可能容易受到影响。
Nyetya有几种机制,一旦设备被感染就被用来传播:
- EternalBlue - WannaCry使用的相同漏洞。
- EternalRomance - 由“ShadowBrokers”漏掉的SMBv1漏洞
- PsExec - 一个合法的Windows管理工具。
- WMI - Windows Management Instrumentation,一个合法的Windows组件。
- 这些机制用于尝试在其他设备上安装和执行perfc.dat以横向扩展。
对于尚未使用MS17-010的系统,EternalBlue和EternalRomance漏洞利用来破坏系统。针对受害者系统发起的漏洞取决于预期目标的操作系统。
EternalBlue
- Windows Server 2008 R2
- Windows Server 2008
- Windows 7的
- EternalRomance
- Windows XP
- Windows Server 2003
- Windows Vista
PsExec用于使用当前用户的Windows令牌执行以下指令(其中wxyz是IP地址)(从“恢复用户证书”部分)部分,以在联网的设备上安装恶意软件。
WMI用于执行以下命令,执行与上述相同的功能,但使用当前用户的用户名和密码(作为用户名和密码),从上述“恢复用户凭证”部分检索。
一旦系统成功受损,恶意软件会使用2048位RSA加密来加密主机上的文件。此外,恶意软件使用以下命令清除受感染设备上的事件日志:
MBR覆盖的系统在重新启动时会看到此消息。
Nyetya遭到破坏的系统的屏幕截图。
缓解和预防
- 客户可以通过几种方式来减轻和阻止Nyetya影响您的环境。
- 首先,我们强烈建议尚未申请MS17-010的客户立即执行。鉴于漏洞的严重性以及利用这一漏洞的广泛使用的工具,将此漏洞保留在未被修补是不明智的。
- 确保您的系统上部署了可以检测和阻止已知恶意可执行文件执行的防恶意软件软件。
- 实施灾难恢复计划,其中包括备份和恢复备份设备的数据,这些备份设备保持脱机状态。对手经常针对备份机制来限制用户可以在不支付赎金的情况下还原其文件的可能性。
- 如果可能,在网络上禁用SMBv1,并转移到更新版本的SMB。(SMBv2与Microsoft Vista一起推出)
由于Nyetya试图在受感染的机器上覆盖MBR,Talos使用MBRFilter进行测试,以防止系统MBR允许进行任何更改。该测试证明是成功的,并且机器MBR在良好状态下保持完好。对于可以这样做的用户或企业,我们建议使用MBRFilter。请注意,MBRFilter是Talos的开源项目,不提供任何保证或担保。
覆盖
Cisco客户通过以下产品和服务受到Nyetya的保护。
高级恶意软件防护(AMP)非常适合防止这些威胁演员使用的恶意软件的执行。
诸如NGFW,NGIPS和Meraki MX等网络安全设备可以检测与此威胁相关的恶意活动。
AMP Threat Grid可帮助识别恶意二进制代码,并对所有Cisco Security产品构建保护。
电子邮件和网络目前还没有被识别为攻击媒介。此外,目前还没有与此恶意软件相关的已知C2元素。恶意软件(如果通过网络上的这些系统传输)将被阻止。
NGIPS / Snort规则
以下NGIPS / Snort规则检测此威胁:
- 42944 - OS-WINDOWS Microsoft Windows SMB远程代码执行尝试
- 42340 - OS-WINDOWS Microsoft Windows SMB匿名会话IPC共享访问尝试
- 41984 - OS-WINDOWS Microsoft Windows SMBv1相同的MID和FID类型混淆尝试
以下NGIPS / Snort规则也是感染流量的指标:
- 5718 - OS-WINDOWS Microsoft Windows SMB-DS Trans unicode最大参数/计数OS-WINDOWS尝试
- 1917 - INDICATOR-SCAN UPnP服务发现尝试
- 5730 - OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS尝试
- 26385 - FILE-EXECUTABLE Microsoft Windows可执行文件保存到SMB共享尝试
- 43370 - NETBIOS DCERPC可能的wmi远程进程启动
AMP覆盖
- W32.Ransomware.Nyetya.Talos
威胁网格
威胁网格能够检测与Nyetya相关的恶意软件样本为恶意软件。
妥协指标(IOC)
AMP覆盖
- W32.Ransomware.Nyetya.Talos
SHA256
- 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
- eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998(密码窃取者)
