域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

6月27日晚，一種名為Petya的新型勒索病毒爆發(fā)，快速席卷了俄羅斯、美國和烏克蘭等國家，并正向全球蔓延。與此前5月WannaCry病毒類似，感染該病毒電腦用戶也將被要求支付一定數(shù)量的加密數(shù)字貨幣才能解鎖。

金山云安全中心啟動(dòng)安全檢測，確認(rèn)金山云客戶尚無感染案例。與此同時(shí)，通過金山云沙盒分析系統(tǒng)對感染樣本主機(jī)行為分析發(fā)現(xiàn)，此次主要感染windows PE文件格式，linux 或者mac無須恐慌，但建議沒打補(bǔ)丁用戶盡快打補(bǔ)丁避免感染風(fēng)險(xiǎn)。

根據(jù)金山云安全中心安全截取的樣本分析確認(rèn)，此次攻擊網(wǎng)絡(luò)感染部分Petya釆用 “永恒之藍(lán)”的漏洞(MS17-010 SMB漏洞)做內(nèi)網(wǎng)感染，RTF漏洞(CVE-2017-0199)進(jìn)行釣魚攻擊。

根據(jù)MALWAREINT的全網(wǎng)漏洞探測系統(tǒng)數(shù)據(jù)：

備注：MS17-010PoC返回存在漏洞的主機(jī)數(shù)量。

發(fā)現(xiàn)在6月27日23點(diǎn)以后，全網(wǎng)感染主機(jī)數(shù)量增加。

RTF感染EXP，可以參考：

小結(jié)：本次攻擊網(wǎng)絡(luò)部分主要是針對個(gè)人PC的攻擊和傳染。

金山云沙盒分析系統(tǒng)對感染樣本主機(jī)行為分析后，發(fā)現(xiàn)該病毒具有如下特征：

(1) Petya勒索軟件主要使用ms17-010 Poc、WMIC、PsExec等病毒組件完成傳播信息獲取。

(2) 磁盤API調(diào)用包括："\\\\.\\PhysicalDrive"、"\\\\.\\PhysicalDrive0"、"\\\\.\\C:"、"TERMSRV"、"\\admin$"、"GetLogicalDrives"、"GetDriveTypeW"

(3) 勒索部分顯示信息包括："CHKDSK is repairing sector"、"wowsmith123456@posteo.net"、"1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX"

(4) 功能調(diào)用API："OpenProcessToken"、"EnterCriticalSection"、"GetCurrentProcess"、"GetProcAddress"、"WriteFile"、"CoTaskMemFree"、"NamedPipe"

(5) 使用命令：主要是刪除Setup、System、Security、Application

例如：wevtutil cl Application 和fsutilusndeletejournal

(6) 使用任務(wù)："schtasks "、"/Create /SC "、"at %02d:%02d %ws"、"shutdown.exe /r /f"

小結(jié)：包含以上特征的調(diào)用視為Petya。

如何防范：

(1) 如果你的企業(yè)架構(gòu)中存在windows服務(wù)器，建議使用公有云平臺(tái)的VPC網(wǎng)絡(luò)安全組，防范企業(yè)內(nèi)網(wǎng)感染，降低攻擊面。

(2) 如果你的企業(yè)中存在郵件系統(tǒng)，建議更新自己的反病毒郵件網(wǎng)關(guān)的病毒定義，或者對進(jìn)入企業(yè)內(nèi)網(wǎng)的郵件附件做安全掃描，防止病毒通過RTF漏洞傳播。

(3) 使用金山云安全產(chǎn)品KHS更新安全補(bǔ)丁。

(4) 使用金山云主機(jī)快照定期對服務(wù)器上的數(shù)據(jù)盤進(jìn)行備份。

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！