Petya真的沒那麼簡單！北約呼籲發起聯合調查，US-CERT發布警報

北約（NATO）認為Petya大規模襲擊可能是國家層面的攻擊。Petya和WannaCry這種嚴重的網路安全問題需要國際社會聯合響應。

NATO認為近期大規模傳播的Petya（也叫NotPetya）勒索病毒大規模傳播的背後可能有國家支持的黑客在行動。目前，Petya已經感染了65個國家的一萬兩千多台設備，重要企業和基礎設施紛紛中招。

不同的研究組織都對此進行了分析，認為Petya偽裝成勒索軟體，但實際上是一種以破壞為目的的清除軟體。攻擊者可能利用這種偽裝來轉移注意力，隱藏這場國家級別的網路攻擊。

NATO呼籲聯合調查

NATO的專家認為，這次襲擊很可能是由國家支持的黑客組織發起的，或者是由某個國家委託非國家支持的黑客組織完成。 攻擊者資金充足，攻擊過程複雜，耗資不少。

儘管過程複雜，但是攻擊者並沒有花費太多精力來管理收到的贖金，這表明黑客並非出於經濟動機而實施攻擊：

這個操作整體並不是太複雜。但如果是利益不相關的黑客僅僅為了技術實踐去準備並實施這場攻擊，還是非常複雜且耗資巨大的。

NATO的合作網路防禦中心（CCD COE）表示，Petya背後也並不存在網路犯罪的可能性，因為收集贖金的方式設計得十分糟糕，攻擊者收到的贖金甚至不能涵蓋運營成本。」

NATO如此表態，後果 可能有些嚴重。這場Petya網路攻擊可以說成是戰爭行為，並可能引發《北大西洋公約》第5條的規定：

一旦確認

及時

NATO的CCD COE法律部研究員Tomá?Minárik表示：

2017年6月27日Petya病毒爆發，席捲烏克蘭、歐洲、美國和俄羅斯境等多個國家。NATO的CCD COE研究人員Bernhards Blumbergs、Tomá?Minárik、LTC Kris van der Meij和LauriLindstr?m等人都認為這場攻擊很有可能是國家層面的攻擊。研究人員對最近的WannaCry和Petya等大規模攻擊展開過多項研究，研究結果讓人們對受影響國家和國際社會的可能應對方案提出了質疑。

由於重要的政府系統也遭受到攻擊，如果攻擊與某個國家有關，那麼這可能已涉嫌侵犯國家主權。因此，Petya肆虐可能是一種不法的國際行為，而受攻擊國家的應對措施卻寥寥無幾。

據NATO的研究人員介紹，儘管WannaCry的攻擊和Petya有許多相似之處，但其實背後的黑客組織並不相同。

根據各種消息，敲詐勒索似乎只是一個草草準備的外殼，那麼Petya攻擊背後的動機應該從其他角度來探討。儘管Petya利用的漏洞與WannaCry相同，但是這兩個類似攻擊背後的黑客組織可能並不一樣。兩種攻擊為攻擊者帶來的經濟收益都不太，但兩種攻擊都達到了類似效果：造成全球範圍的大規模攻擊。

北約CCD COE戰略部研究員勞里·林德斯特倫表示：

Petya緊隨WannaCry之後，也利用了Shadow Brokers發布的EnternalBlue工具。此外，過程更複雜且耗資更多的Petya可能也是一種權力的證明 ——證明某個國家具有大規模網路攻擊能力且已準備好可以隨時出擊。

賽門鐵克安全響應中心研究員Gavin O』Gorman對Petya背後的攻擊動機給出兩個假設。

1. 這個攻擊是由技術高超但實戰能力較差的黑客組織發起的。這些黑客用一個比特幣錢包地址收款，並使用單一的郵箱進行聯繫；

2. 此次攻擊實際上是一場大規模破壞性攻擊。

Gavin O』Gorman認為，可能此次攻擊並非為了賺錢，也不只是單純破壞烏克蘭的各個政府組織網路系統。發起一場可以清除受害者硬碟內容的攻擊同樣可以達到上述目的。但是，這樣就太過直白，太有攻擊性了。

通過偽裝成勒索軟體，有效地清除硬碟數據，這很有迷惑性。受害者和研究者都會因此好奇：到底攻擊者是出於政治目的還是受金錢驅使？

WannaCry和Petya事件再次促使人們關注國際社會面對此類事件時給出的響應，以及建立「網路空間國家行為準則」的必要性。

這些問題其實在最近的義大利G7峰會上都有討論，G7網路安全小組成員提出了可以解決這些問題的一系列國家行為準則。最終，達成了G7峰會關於「網路空間有責任國家行為」的聲明，聲明規定了和平時期自願、非約束性的國家網路行為準則。

同時，NATO號召各國聯合起來，針對本次Petya攻擊展開專門調查，找到背後攻擊者並給予處罰。

WannaCry和Petya引發了人們關於國際社會應對網路攻擊策略的探討。遭受網路攻擊的國家數量很多，表明攻擊者並不懼怕針對自身的全球性調查。這對於受害國家而言也許是個機會，各受害家國可以出其不意，聯合起來共同展開調查。

US-CERT發布Petya警報及防禦措施

美國國土安全部（DHS）計算機應急準備小組（US-CERT）日前也發布了針對Petya勒索軟體的警報（TA17-181A）。

Petya利用 SMB漏洞，通過ETERNALBLUE M2 MS17-010利用工具攻擊設備。

US-CERT表示已經收到與Petya勒索軟體有關的多份報告，

警告各組織儘快升級軟體，停止使用不受支持的設備和操作系統。

NCCIC代碼分析小組發布了一份惡意軟體初始研究結果報告，給出了關於Petya惡意軟體的深度技術分析。他們還與政府、私企等合作，以逗號分隔值的形式發布了IOC內容，以便信息共享。

相關文件如下：

MIFR-10130295.pdf

TA-17-181A_IOCs.csv

該警報分析了最後Petya勒索軟體的樣本，發現這個變體利用動態生成的128位密鑰加密了受害者的文件，並創建了受害者的唯一ID。專家並未發現加密密鑰生成和受害者ID之間有任何關聯。

但是，加密密鑰和受害者的ID之間並沒有什麼關聯，這意味著即使受害者支付贖金，攻擊者也可能無法解密受害者的文件。

這個Petya變種使用MS17-010描述的SMB漏洞，並竊取用戶的Windows憑證，進行傳播。值得注意的是，這個變種安裝可以修改版本的Mimikatz工具，用於獲取用戶憑證。竊取的憑證可用於訪問網路上的其他系統。」

US-CERT分析的樣本也將嘗試通過檢查受攻擊系統的IP物理地址映射表來識別網路上的其他主機。

Petya變體在「C：」驅動器上寫入文本文件，其中包含比特幣錢包地址和用於贖金支付的RSA密鑰。其惡意代碼會修改主引導記錄（MBR）以啟用主文件表（MFT）和原始MBR的加密，然後重新啟動系統以替換MBR。

「基於所使用的加密方法，即使攻擊者收到受害者的唯一ID，也不一定能恢復文件。」

US-CERT建議各組織採取處理SMB的最佳做法，例如：

禁用SMBv1；

通過阻止TCP 445埠與UDP 137-138埠和TCP 139埠上的所有相關協議，阻止所有邊界設備上各版本的SMB。

US-CERT警告用戶和管理員，禁用或阻止SMB可能會阻礙計算機訪問共享文件、數據或設備。 但是便利性應當為安全性讓步。

以下是US-CERT所發布的完整版防禦步驟：

下載微軟在2017年3月14日發布的 MS17-010 SMB 漏洞修復補丁；

啟用強大的垃圾郵件過濾器，防止終端用戶收到釣魚郵件，並使用SPF、DMARC身份驗證以及DKIM等技術來驗證入站郵件，以防止電子郵件詐騙；

掃描所有傳入和傳出的電子郵件，檢測威脅並過濾到達終端用戶的可執行文件；

將防病毒和反惡意軟體程序設置為自動、定期掃描；

管理特權帳戶；實行最低許可權的原則；除非絕對需要，否則不為任何用戶設置管理訪問權；只有在必要時才能使用管理員帳戶；

配置訪問控制，包括文件、目錄和網路共享許可權（遵循最低許可權原則）；如果用戶只需要讀取特定文件，則不應有這些文件、目錄或共享內容的寫入權；

從通過電子郵件傳輸的Microsoft Office文件中禁用宏腳本；考慮使用Office Viewer軟體打開通過電子郵件而非完整的Office套件應用程序傳輸的Microsoft Office文件；

制定、研究並實施員工教育計劃以識別欺詐、惡意鏈接和社會工程攻擊；

對網路進行定期滲透測試，每年不少於一次；最好經常測試；

測試備份，確保內容正常，可以使用；

利用基於主機的防火牆並阻止工作站到工作站的通信。

*參考來源：securityaffairs，AngelaY編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！