新的勒索軟體變種「Nyetya」危害全球系統

註：思科Talos 針對新威脅進行了積極研究，此博客文章就此進行討論。這類信息只能視為初步信息，並將隨著研究繼續持續更新。

更新時間為 2017 年 06 月 28 日下午 07：09 EDT：更新作為用於入侵系統機制的 EternalRomance 的使用情況。

勒索軟體Nyetya概述

基於新勒索軟體變種的樣本分析顯示，勒索軟體藉助了之前被多次利用的永恆之藍（EternalBlue）攻擊工具和Windows系統的WMI進行傳播。與之前出現的WannaCry不同，此次的變種中沒有包含外部掃描模塊，而是利用了psexec管理工具在內網進行傳播。

自從 SamSam 在 2016 年 3 月針對美國醫療保健機構展開攻擊以來，思科Talos一直在關注有關解決勒索軟體通過未修補網路漏洞的擴散傳播。2017 年 5 月，WannaCry 勒索軟體利用了 SMBv1 內的漏洞，並在互聯網上大規模爆發。

現在，一種新的惡意軟體版本已經浮出水面，它與被稱為
Petrwrap 和 GoldenEye 等 的 Petya 勒索軟體明顯不同。思科Talos 正在將這個新的惡意軟體變體確定為
Nyetya。該樣本利用 EternalBlue、EternalRomance、WMI 和 PsExec
在受影響的網路內部橫向滲透。稍後將在「惡意軟體功能」的博客中對此行為進行詳細介紹。與 WannaCry 不同，Nyetya
顯示沒有包含外部掃描組件。

目前還沒有識別出該勒索軟體的傳播源頭。無法確認電子郵件是傳播源頭的早期報告。基於觀察到的在外傳播行為、已知的缺乏、可行的外部擴散機制和其他研究，我們認為有些感染可能與烏克蘭稅務會計軟體
MeDoc 的更新系統有關。思科Talos 還在持續研究此惡意軟體的傳播源頭。

與所有勒索軟體一樣，思科Talos
不建議支付贖金。應該注意的是，用於支付驗證和解密密鑰共享的相關郵箱已被 posteo.de
網站關閉。這將使得所有成功付款無效，攻擊者在收到支付的贖金後沒有可用的通信方式驗證受害者的支付或者分配解密密鑰。惡意軟體也沒有可用來直接連接命令和控制遠程解鎖的方法。Nyetya
不完全是勒索軟體（其中它會提示您通過支付贖金取回您的數據）更多地像是一個「擦除」系統，它意味著能輕易地擦除系統。

恢復用戶憑證

負責傳播惡意軟體的 Perfc.dat 文件在其資源部分包含嵌入可執行文件。勒索軟體將該可執行文件以臨時文件屬性放置在用戶的 %TEMP% 文件夾內，用命名管道參數運行（包含 GUID）。主要可執行文件通過此命名管道與放置的可執行文件通信。例如：

C:WINDOWSTEMP561D.tmp, \.pipe{C1F0BF2D-8C17-4550-AF5A-65A22C61739C}

放置的 .tmp 可執行文件似乎基於 Mimikatz，這是一種流行的開源軟體，通過使用幾種不同技術用於恢復計算機內存的用戶憑證。但是，思科Talos 已確認可執行文件並非 Mimikatz 工具。然後利用 WMIC 和 PsExec 使用恢復的憑證在遠程系統中啟動惡意軟體。例如：

Wbemwmic.exe /node:"w.x.y.z" /user:"username" /password:"password" "process call create "C:WindowsSystem32
undll32.exe "C:Windowsperfc.dat" #1

惡意軟體功能

Perfc.dat
具有進一步危害系統所需的功能，並包含一個單個未命名的導出功能模塊，稱為 #1。該庫嘗試通過 Windows API
AdjustTokenPrivileges 獲取當前用戶的管理許可權（SeShutdowPrivilege 和
SeDebugPrivilege）。一旦成功，Nyetya 將重寫磁碟上的啟動分區記錄（MRB），在 Windows 中把磁碟稱為
PhysicalDrive 0。不管 MBR 重寫成功與否，惡意軟體將繼續通過 schtasks
創建計劃的任務，在完成感染一小時後重新啟動系統。

在勒索軟體傳播過程中，惡意軟體通過 NetServerEnum API 呼叫遍歷網路上所有可見主機，然後掃描所有開放了 TCP 139 埠的主機。這樣做是為了編譯暴露了這個埠和易於感染的主機列表。

一旦主機被感染，Nyetya 將使用幾種機制進行散播：

1. EternalBlue - 與 WannaCry 入侵的方式相同。

2. EternalRomance - 由「ShadowBrokers」泄露的 SMBv1 入侵

3. PsExec - Windows 系統自帶的管理工具。

4. WMI - Windows 管理工具，Windows 自帶組件。

這些機制用於嘗試在其他主機上安裝和執行 perfc.dat 以橫向擴散惡意軟體。

對於還沒有應用MS17-010的系統，則利用 EternalBlue 和 EternalRomance 漏洞攻擊危害系統。針對受害者系統啟動的漏洞攻擊取決於預定目標的操作系統。

• EternalBlue

Windows Server 2008 R2

Windows Server 2008

Windows 7

• EternalRomance

Windows XP

Windows Server 2003

Windows Vista

利用當前用戶的 Windows Token（來自上面的「恢復用戶憑證」部分），在聯網的主機上 PsExec 被用於運行以下命令（其中 w.x.y.z 是 IP 地址）來安裝惡意軟體。

C:WINDOWSdllhost.dat \w.x.y.z -accepteula -s -dC:WindowsSystem32
undll32.exeC:Windowsperfc.dat,#1

利用當前用戶的用戶名和密碼(作為用戶名和密碼)，從上面的「恢復用戶憑證」部分檢索，WMI 被用於執行以下命令實現相同功能。

Wbemwmic.exe
/node:"w.x.y.z" /user:"username" /password:"password" "process call
create "C:WindowsSystem32
undll32.exe "C:Windowsperfc.dat" #1"

一旦危害系統成功，惡意軟體將使用 2048 位 RSA 加密主機上的文件。此外，惡意軟體使用以下命令清理被感染主機上的活動日誌：

wevtutil
cl Setup & wevtutil cl System & wevtutil cl Security &
wevtutil cl Application & fsutil usn deletejournal /D %c

重啟 MBR 被重寫的系統時，會看到此消息。

圖：被 Nyetya 入侵的系統的截屏。

規避和預防

客戶可以有幾種方式緩解並防止 Nyetya 影響您的環境。

• 首先，我們強烈建議尚未應用 MS17-010 訪問的客戶立即執行。鑒於漏洞的嚴重程度和利用它的可用工具的廣泛度，明智的作法是進行漏洞修補。

• 確保您的系統部署了防惡意軟體，可以檢測和封鎖已知的惡意可執行文件的實施。

• 執行災難恢復計劃包括備份和存儲離線備份主機的數據。攻擊者經常將備份機製作為攻擊目標，以降低用戶在不支付贖金的情況下恢復文件的可能性。

• 如果可能，在網路上禁用 SMBv1 並移動到更新版本的 SMB。（SMBv2 使用 Microsoft Vista 引入）

由於
Nyetya 嘗試在被感染的主機上重寫 MBR，思科Talos 使用MBRFilter 進行了測試，以防止允許系統 MBR
進行任何更改。此測試已經得到了成功證實，並且主機 MBR 保持良好狀態。對於可以執行此操作的用戶和企業，我們建議使用 MBRFilter。注意
MBRFilter 是 思科Talos 提供的開源項目，不提供保修或保證。

防護

思科客戶可以通過以下產品和服務對 Nyetya 進行防護：

高級惡意軟體防護
(AMP) 解決方案可以有效防止執行威脅發起者使用的惡意軟體。網路安全設備（例如 NGFW、NGIPS 和 Meraki
MX）可以檢測與此威脅相關的惡意活動。AMP Threat Grid
可幫助識別惡意二進位文件，使所有思科安全產品都有內置保護措施。目前還沒識別出郵件和 Web 是攻擊源頭。此外，目前還沒有與此惡意軟體相關的已知
C2 元素。如果該惡意軟體在您網路的這些系統之間傳輸，將會受到阻止。

客戶打開源 Snort 用戶規則集，可以在 Snort.org 上下載 Snort.org 出售的最新規則包，保持最新狀態。

NGIPS/Snort 規則

以下 NGIPS/Snort 規則可以檢測此威脅：

• 42944 - OS-WINDOWS Microsoft Windows SMB remote code execution attempt

• 42340 - OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt

• 41984 - OS-WINDOWS Microsoft Windows SMBv1 identical MID and FID type confusion attempt

以下 NGIPS/Snort 規則提供感染流量的檢測告警：

• 5718 - OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param/Count OS-WINDOWS attempt

• 1917 - INDICATOR-SCAN UPnP service discover attempt

• 5730 - OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt

• 26385 - FILE-EXECUTABLE Microsoft Windows executable file save onto SMB share attempt

• 43370 - NETBIOS DCERPC possible wmi remote process launch

AMP 覆蓋範圍

W32.Ransomware.Nyetya.Talos

Threat Grid

Threat Grid 能夠檢測與 Nyetya 惡意行為相關的惡意軟體樣本。

危害表現 (IOC)

AMP 覆蓋範圍

W32.Ransomware.Nyetya.Talos

SHA256

027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745eae9771e2eeb7ea3c6059485da39e77b8c0c369232f01334954fbac1c186c998
(password stealer)

思科勒索軟體防護促銷包發布

為了更好的幫助各行業用戶應對後續可能發生的勒索軟體攻擊變種和升級危機，思科大中國區安全部門在中國大陸推出了勒索軟體防護Starter bundle，整合了目前思科安全 Firepower 2110、郵件安全設備 C190、AMP 高級惡意軟體防護等產品，從 Web 和 Email 這兩個勒索軟體最重要的傳播途徑進行全面防護。

在此 Starter Bundle 中, 必選組件部分：

• Firepower 2110 --在互聯網出口檢測並阻擋惡意勒索軟體的進入

• 郵件安全網關C190 --檢測並阻擋惡意勒索軟體通過郵件的方式進入網路

• AMP end point--安裝在用戶的終端的軟體， 阻擋勒索軟體的惡意行為

在此Starter Bundle中, 選配組件部分：

• Stealthwatch--快速發現網路異常，定位受感染的主機

• 高級安全服務--提供遠程漏洞掃描和釣魚軟體模擬攻擊測試的高級服務

思科Talos 簡介

思科Talos
團隊由業界領先的網路安全專家組成，他們分析評估黑客活動，入侵企圖，惡意軟體以及漏洞的最新趨勢。包括 ClamAV
團隊和一些標準的安全工具書的作者中最知名的安全專家，都是思科 思科Talos 的成員。這個團隊同時得到了
Snort、ClamAV、Senderbase.org 和 Spamcop.net
社區的龐大資源支持，使得它成為網路安全行業最大的安全研究團隊，也為思科的安全研究和安全產品服務提供了強大的後盾支持。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！