作者:騰訊電腦管家 - FreeBuf.COM | 關注駭客與極客
原文連結:Petya勒索軟體新變種詳細分析報告 - FreeBuf.COM | 關注駭客與極客
本文非《安全大事件》原創
轉載請註明來自http://FreeBuf.COM
目錄
Petya勒索軟體新變種詳細分析報告
Petya新變種簡介
傳播渠道分析
可能傳播渠道-郵箱傳播
可能傳播渠道-MeDoc
詳細功能分析
感染過程分析
磁碟加密和勒索細節
安全建議
參考資料
Petya新變種簡介
據twitter爆料,烏克蘭政府機構遭大規模攻擊,其中烏克蘭副總理的電腦均遭受攻擊,目前騰訊電腦管家已經確認該病毒為Petya勒索病毒變種。Petya勒索病毒變種中毒後會掃描內網的機器,透過永恆之藍漏洞自傳播到內網的機器,達到快速傳播的目的。
有國外安全研究人員認為,Petya勒索病毒變種會透過郵箱附件傳播,利用攜帶漏洞的DOC文件進行攻擊。中毒後,病毒會修改系統的MBR引導扇區,當電腦重啟時,病毒程式碼會在Windows作業系統之前接管電腦,執行加密等惡意操作。電腦重啟後,會顯示一個偽裝的介面,此介面實際上是病毒顯示的,介面上假稱正在進行磁碟掃描,實際上正在對磁碟資料進行加密操作。
當加密完成後,病毒要求受害者支付價值300美元的比特幣之後,才會回覆解密金鑰。
傳播渠道分析
可能傳播渠道-郵箱傳播
根據烏克蘭CERT官方訊息,郵件附件被認為該次病毒攻擊的傳播源頭,郵箱附件是一個DOC文件,文件透過漏洞CVE-2017-0199來觸發攻擊,電腦管家也溯源到了國內類似郵件攻擊最早發生在6月27日早上。在實際測試過程中,並沒有完整重現整個攻擊過程。
可能傳播渠道-MeDoc
很多安全研究機構認為,這次Petya的攻擊源是由於MeDoc軟體的更新服務被劫持導致。
詳細功能分析
感染過程分析
1,寫MBR
0~0×21扇區儲存的是病毒的MBR和微核心程式碼資料,而原始的MBR被加密儲存在第0×22扇區。
2,加密檔案
1)遍歷分割槽
2)要加密的檔案型別
3)檔案加密過程
3、傳播方式
1)可能透過管理共享在區域網內傳播,而後透過wmic來實現遠端命令執行。
C:\Windows\dllhost。dat \\10。141。2。26 -accepteula -s -d C:\Windows\System32\rundll32。exe “C:\Windows\perfc。dat”,##1 60 “RCAD\ryngarus。ext:FimMe21Pass!roy4″”RCAD\svcomactions:3GfmGeif”
c:\windows\system32\wbem\wmic。exe /node:”IP_ADDR” /user:”User” /password:”PWD” process call create “c:\windows\system32\rundll32。exe” \”c:\windows\perfc。dat\” #1
2)透過EternalBlue和EternalRomance漏洞傳播。
程式發動攻擊前,先嚐試獲取到可攻擊的IP地址列表:
磁碟加密和勒索細節
主要功能描述:
1、系統重啟,惡意MBR載入;
2、檢測磁碟是否被加密,如果沒有則顯示偽造 的檢測磁碟介面、並加密MFT;
3、顯示紅色的勒索介面,讓使用者輸入秘鑰;
細節分析:
MBR啟動後,將1-21扇區資料複製到8000地址 處,然後Jmp執行8000地址程式碼
透過讀取標記位判斷磁碟已經被加密
若磁碟沒有加密,則顯示偽造的檢測磁碟介面,並加密MFT
加密完成後,讀取扇區後面的勒索 語句
將獲取到的語句顯示到螢幕上
從螢幕獲取秘鑰並驗證
安全建議
打補丁
參考資料
1, Petya勒索病毒首發技術分析 - FreeBuf。COM | 關注駭客與極客
2, Schroedinger‘s Pet(ya) - Securelist
3, Petya Ransomware Attack - What’s Known
4, Petya Ransomware Spreading Via EternalBlue Exploit « Threat Research Blog
5, Threat Brief: Petya Ransomware A Global Attack Spreading Fast | Check Point Blog
6,
https://
gist。github。com/vulners
Com/65fe44d27d29d7a5de4c176baba45759
注:病毒樣本見《安全大事件》:快訊:烏克蘭、俄羅斯、印度等多國遭受Petya勒索病毒襲擊(附樣本) - 知乎專欄
http://
image。3001。net/images/2
0170628/14986057777977。png