盡管這輪攻擊所采用惡意軟件尚未確定,但一些研究人員推測它是Petya的一種變體,此種勒索軟件不是針對單個(gè)文件而是對整個(gè)硬盤(pán)驅動(dòng)器進(jìn)行加密。 Check Point以色列捷邦安全軟件科技有限公司的分析顯示,這次攻擊也采用了Loki Bot來(lái)進(jìn)行憑據盜竊。分析還發(fā)現此款勒索軟件采用“橫向移動(dòng)”(Lateral Movement) 方式進(jìn)行攻擊,能充分利用服務(wù)器信息區塊(SMB)的漏洞。
Check Point研究實(shí)驗室發(fā)表的簡(jiǎn)報詳情如下:
- Loki-Bot惡意軟件的感染鏈如下:RTF文件下載受感染的xls,其中包含惡意的js腳本,從而從另一個(gè)放置區域提取可執行文件,可執行文件是Loki Bot。
- Petya 勒索軟件利用SMB漏洞進(jìn)行“橫向移動(dòng)”攻擊,這與WannaCry中使用的漏洞有點(diǎn)不同。我們會(huì )持續更新具體細節。
- Loki Bot的感染載體如下:包含RTF文件的惡意電子郵件。 RTF利用CVE-2017-0199下載xlsx誘餌文件。 “xlsx”文件的二進(jìn)制文件包含由RTF文件執行的js腳本。當它運行時(shí),腳本下載Loki的exe文件并執行它。
- 目前仍然沒(méi)有確定Loki-Bot與勒索軟件攻擊有關(guān)。
- Petya的“橫向移動(dòng)”利用服務(wù)器信息區塊(SMB)協(xié)議和HTTP流量,受感染的機器通過(guò)發(fā)送ARP請求掃描內部網(wǎng)絡(luò )。然后對此進(jìn)行回應的機器將啟動(dòng)SMB通信,稍后添加HTTP通信。最終,這兩臺機器都被加密,通信停止。
Check Point正密切關(guān)注該勒索病毒的攻擊,并會(huì )及時(shí)發(fā)表更新簡(jiǎn)報。以下是Check Point 關(guān)于抗拒勒索軟件的方案建議:
- 采用Check Point SandBlast, SandBlast Agent 和 Anti-Bot防御 Petya 勒索軟件和Loki Bot的攻擊
- Check Point IPS可防御相關(guān)的SMB漏洞
- Sandblast: https://www.checkpoint.com/products/sandblast-network-security/
- Sandblast Agent:https://www.checkpoint.com/products/endpoint-sandblast-agent/
- Anti-bot:https://www.checkpoint.com/products/anti-bot-software-blade/
- IPS:https://www.checkpoint.com/products/ips-software-blade/
點(diǎn)擊以下鏈接查看我們的深度分析:
http://freports.us.checkpoint.com/petyavar/
http://freports.us.checkpoint.com/petyavar/
Check Point以色列捷邦安全軟件科技有限公司
Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專(zhuān)注于安全的解決方案提供商,為各界客戶(hù)提供業(yè)界領(lǐng)先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡(luò )到移動(dòng)設備的安全保護,以及最全面和可視化的安全管理方案。Check Point現為十多萬(wàn)不同規模的組織提供安全保護。
