盡管這輪攻擊所采用惡意軟件尚未確定,但一些研究人員推測它是Petya的一種變體,此種勒索軟件不是針對單個文件而是對整個硬盤驅(qū)動器進(jìn)行加密。 Check Point以色列捷邦安全軟件科技有限公司的分析顯示,這次攻擊也采用了Loki Bot來進(jìn)行憑據(jù)盜竊。分析還發(fā)現(xiàn)此款勒索軟件采用“橫向移動”(Lateral Movement) 方式進(jìn)行攻擊,能充分利用服務(wù)器信息區(qū)塊(SMB)的漏洞。
Check Point研究實驗室發(fā)表的簡報詳情如下:
- Loki-Bot惡意軟件的感染鏈如下:RTF文件下載受感染的xls,其中包含惡意的js腳本,從而從另一個放置區(qū)域提取可執(zhí)行文件,可執(zhí)行文件是Loki Bot。
- Petya 勒索軟件利用SMB漏洞進(jìn)行“橫向移動”攻擊,這與WannaCry中使用的漏洞有點(diǎn)不同。我們會持續(xù)更新具體細(xì)節(jié)。
- Loki Bot的感染載體如下:包含RTF文件的惡意電子郵件。 RTF利用CVE-2017-0199下載xlsx誘餌文件。 “xlsx”文件的二進(jìn)制文件包含由RTF文件執(zhí)行的js腳本。當(dāng)它運(yùn)行時,腳本下載Loki的exe文件并執(zhí)行它。
- 目前仍然沒有確定Loki-Bot與勒索軟件攻擊有關(guān)。
- Petya的“橫向移動”利用服務(wù)器信息區(qū)塊(SMB)協(xié)議和HTTP流量,受感染的機(jī)器通過發(fā)送ARP請求掃描內(nèi)部網(wǎng)絡(luò)。然后對此進(jìn)行回應(yīng)的機(jī)器將啟動SMB通信,稍后添加HTTP通信。最終,這兩臺機(jī)器都被加密,通信停止。
Check Point正密切關(guān)注該勒索病毒的攻擊,并會及時發(fā)表更新簡報。以下是Check Point 關(guān)于抗拒勒索軟件的方案建議:
- 采用Check Point SandBlast, SandBlast Agent 和 Anti-Bot防御 Petya 勒索軟件和Loki Bot的攻擊
- Check Point IPS可防御相關(guān)的SMB漏洞
- Sandblast: https://www.checkpoint.com/products/sandblast-network-security/
- Sandblast Agent:https://www.checkpoint.com/products/endpoint-sandblast-agent/
- Anti-bot:https://www.checkpoint.com/products/anti-bot-software-blade/
- IPS:https://www.checkpoint.com/products/ips-software-blade/
點(diǎn)擊以下鏈接查看我們的深度分析:
http://freports.us.checkpoint.com/petyavar/
http://freports.us.checkpoint.com/petyavar/
Check Point以色列捷邦安全軟件科技有限公司
Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專注于安全的解決方案提供商,為各界客戶提供業(yè)界領(lǐng)先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡(luò)到移動設(shè)備的安全保護(hù),以及最全面和可視化的安全管理方案。Check Point現(xiàn)為十多萬不同規(guī)模的組織提供安全保護(hù)。