新的勒索软件变种Nyetya危害系统全球-Cisco.PDF

2017 年6 月27 日 新的勒索软件变种“Nyetya”危害系统全球 注意： Talos 针对新威胁进行了积极研究，此博客文章就此进行讨论。这类信息只能视为初 步信息，并将随着研究继续持续更新。 更新时间为2017 年 06 月28 日下午07：09 EDT：更新以反映作为用于入侵系统机制的 EternalRomance 的使用情况。 自从SamSam 在2016 年3 月针对美国医疗保健机构展开攻击以来，有关解决勒索软件通过 未修补网络漏洞的扩散，Talos 一直备受关注。2017 年5 月，WannaCry 勒索软件利用了 SMBv1 内的漏洞，并在互联网上大规模爆发。 现在，一种新的恶意软件版本已经浮出水面，它与被称为Petrwrap 和GoldenEye 等 的 Petya 勒索软件明显不同。Talos 正在将这个新的恶意软件变体确定为Nyetya。该样本利用 EternalBlue、EternalRomance、WMI 和PsExec 在受影响的网络内部横向渗透。稍后将在 “恶意软件功能”的博客中对此行为进行详细介绍。与WannaCry 不同，Nyetya 显示没有包 含外部扫描组件。 目前还没有识别出该勒索软件的传播源头。无法确认电子邮件是传播源头的早期报告。基于 观察到的在外散播行为、已知的缺乏、可行的外部扩散机制和其他研究，我们认为有些感染 可能与乌克兰税务会计软件MeDoc 的更新系统有关。Talos 还在持续研究此恶意软件的传播 源头。 与所有勒索软件一样，Talos 不建议支付赎金。基于勒索软件的这个特定点，应该注意的 是，用于支付验证和解密密钥共享的相关邮箱已被posteo.de 网站关闭。这将使得所有成功 付款无效，攻击者在收到支付的赎金后没有可用的通信方式验证受害者的支付或者分配解密 密钥。恶意软件也没有可用来直接连接命令和控制远程解锁的方法。Nyetya 不完全是勒索软 件（其中它会提示您通过支付赎金取回您的数据），并且更多地是一个“擦除”系统，它意 味着能轻易地擦除系统。 恢复用户凭证 负责传播恶意软件的Perfc.dat 文件在其资源部分包含嵌入可执行文件。勒索软件将该可执行 文件以临时文件属性放置在用户的%TEMP% 文件夹内，用命名管道参数运行（包含 GUID）。主要可执行文件通过此命名管道与放置的可执行文件通信。例如： C:\WINDOWS\TEMP\561D.tmp, \\.\pipe\{C1F0BF2D-8C17-4550-AF5A-65A22C61739C} 放置的.tmp 可执行文件似乎基于Mimikatz，这是一种流行的开源软件，通过使用几种不同 技术用于恢复计算机内存的用户凭证。但是，Talos 已确认可执行文件并非Mimikatz 工 具。 然后利用WMIC 和PsExec 使用恢复的凭证在远程系统中启动恶意软件。例如： Wbem\wmic.exe /node:w.x.y.z /user:username /password:password process call create C:\Windows\System32\rundll32.exe \C:\Windows\perfc.dat\ #1 恶意软件功能 Perfc.dat 具有进一步危害系统所需的功能，并包含一个单个未命名的导出功能模块，称为 #1 。该库尝试通过Windows API AdjustTokenPrivileges 获取当前用户的管理权限 （SeShutdowPrivilege 和SeDebugPrivilege ）。一旦成功，Nyetya 将重写磁盘上的启动分 区记录（MRB），在Windows 中把磁盘称为PhysicalDrive 0。不管MBR 重写成功与否， 恶意软件将继续通过schtasks 创建计划的任务，在完成感染一小时后重新启动系统。 在勒索软件散播过程中，恶意软件通过NetServerEnum API 呼叫遍历网络上所有可见主机， 然后扫描所有开放了TCP 139 端口的主机。这样做是为了编译暴露了这个端口和易于感染的 主机列表。 一旦主机被感染，Nyetya 将使用几种机制进行散播： 1. EternalBlue - 与WannaCry 入侵的方式相同。 2. EternalRomance - 由“ShadowBrokers”泄露的SMBv1 入侵 3. PsExec - Windows 系统自带的管理工具。 4. WMI - Windows 管理工具，Windows 自带组件。 这些机制用于尝试在其他主机上安装和执行perfc.dat 以横向扩