Petya 勒索软件新变种详细分析报告

Petya新变种简介

据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒变种。

Petya勒索病毒变种中毒后会扫描内网的机器,通过永恒之蓝漏洞自传播到内网的机器,也通过渗透攻击获取内网域管理员账号密码信息,wmic或者psexec远程命令执行,达到快速传播的目的。有国外安全研究人员认为,Petya勒索病毒变种会通过邮箱附件传播,利用携带漏洞的DOC文档进行攻击。中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面,此界面实际上是病毒显示的,界面上假称正在进行磁盘扫描,实际上正在对磁盘数据进行加密操作。

当加密完成后,病毒要求受害者支付价值300美元的比特币之后,才会回复解密密钥。

传播渠道分析

可能传播渠道-邮箱传播

根据乌克兰CERT官方消息,邮件附件被认为该次病毒攻击的传播源头,邮箱附件是一个DOC文档,文档通过漏洞CVE-2017-0199来触发攻击,电脑管家也溯源到了国内类似邮件攻击最早发生在6月27日早上。在实际测试过程中,并没有完整重现整个攻击过程。

可能传播渠道-MeDoc

很多安全研究机构认为,这次Petya的攻击源是由于MeDoc软件的更新服务被劫持导致。

详细功能分析

感染过程分析

1,写MBR

0~0x21扇区保存的是病毒的MBR和微内核代码数据,而原始的MBR被加密保存在第0x22扇区。

2,加密文件

1)遍历分区

2)要加密的文件类型

3)文件加密过程

3, 传播方式

1)获取需扫描的IP地址

依次获取当前活动连接对应IP地址、ARP缓存中存有的IP地址,以及枚举内网服务器IP。

2)获取本地密码

Dll文件中自带融合了mimikatz功能的资源,在运行过程中,会释放出解密后的资源,对比mimikatz与解密后的资源文件如下:

Mimikatz可以获取登陆过的账号密码,甚至域管理员账户信息。拿到域管理员账户信息后,即可以完成后续写文件、远程命令执行等操作。

3)将自身复制到内网其他机器的admin$共享目录。

4)wmic远程命令执行

c:\windows\system32\wbem\wmic.exe /node:"IP_ADDR" /user:"User" /password:"PWD" process call create "c:\windows\system32\rundll32.exe" \"c:\windows\perfc.dat\" #1

5)psexec远程命令执行

Dllhost.dat 其实就是psexec,用于远程执行命令。psexec需要对方开启ADMIN$共享,而且需要安装服务。

C:\Windows\dllhost.dat \\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\perfc.dat",##1

6) smb攻击(永恒之蓝)

根据系统版本选择不同的payload:

Payload有x86和x64两个版本。该payload主要createprocess,调起一个rundll32去执行一些任务。

磁盘加密和勒索细节

主要功能描述:

1、系统重启,恶意MBR加载;

2、检测磁盘是否被加密,如果没有则显示伪造的检测磁盘界面、并加密MFT;

3、显示红色的勒索界面,让用户输入秘钥;

细节分析:

MBR启动后,将1-21扇区数据复制到8000地址处,然后Jmp执行8000地址代码

通过读取标记位判断磁盘已经被加密

若磁盘没有加密,则显示伪造的检测磁盘界面,并加密MFT

加密完成后,读取扇区后面的勒索语句

将获取到的语句显示到屏幕上

从屏幕获取秘钥并验证

安全建议

1, 及时下载安装腾讯电脑管家,并使用勒索病毒免疫工具,防患于未然。(免疫工具下载地址http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/PetyaFix_2_0_766_127.exe)

2, 及时使用电脑管家将补丁打全。

3, 遇到可疑文件,特别是陌生邮件中的附件,不要轻易打开,首先使用电脑管家进行扫描,或上传至哈勃分析系统(https://habo.qq.com/) 对文件进行安全性检测。

参考资料

1 http://www.freebuf.com/articles/system/138567.html

2 https://securelist.com/schroedingers-petya/78870/

3 https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html

4 https://www.fireeye.com/blog/threat-research/2017/06/petya-ransomware-spreading-via-eternalblue-exploit.html

5 http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/

6https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

腾讯电脑管家的专栏

1 篇文章2 人订阅

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏landv

windows server 2012 R2 远程桌面授权模式尚未配置

1944
来自专栏ChaMd5安全团队

CVE-2017-0199:Microsoft Office RTF 漏洞利用指南

CVE-2017-0199:Microsoft Office RTF 漏洞利用指南 From ChaMd5安全团队核心成员 zusheng 一、介绍 Fire...

39411
来自专栏张戈的专栏

CVE-2015-0235:Linux glibc高危漏洞的检测及修复方法

这几天复习运维知识,也没怎么关注业界新闻,可等我一关注,又“捅娄子”了,Linux 继上次CVE-2014-6271漏洞爆发以来,再次爆发一个严重漏洞:CVE-...

2474
来自专栏FreeBuf

老式后门之美:五种复古远程控制工具

目前,高级的rootkit技术可以帮助你在渗透中拿到一个shell后进行持久性控制。此外,还有供应商故意提供了一些植入后门,但那就是截然不同的故事了。尽管各式花...

2079
来自专栏运维小白

原QQ坦白说之解密教程

背景:之前在QQ上突然有人发坦白说给我,第一感觉就是谁恶搞我,想找到是谁,是谁在恶作剧 ? ---- QQ坦白说之解密教程 一、模拟手机QQ 首先使用谷歌...

3309
来自专栏安恒信息

“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)

相关说明 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控...

2737
来自专栏架构师小秘圈

域名劫持

作者:sarleon 来自:freebuf.com 01 原理 DNS决定的是我们的域名将解析到哪一个IP地址的记录,是基于UDP协议的一种应用层协议 这个...

3454
来自专栏FreeBuf

OpenSSH曝高危漏洞,Linux主机面临暴力破解威胁

OpenSSH软件被爆出一个简单却高危的漏洞,攻击者可以在短时间内进行数千次的登录尝试。 ? OpenSSH是最流行的Linux系统进行远程控制的软件。一般来说...

2137
来自专栏GANDCRAB V5.0.4

.Rooster4444 文件的数据恢复及安全防御

近年以来,Globelmposter勒索病毒频繁出现变种版本(.Rat4444 .Ox4444 .Tiger4444 .Rabbit4444 .Dra...

1084
来自专栏landv

windows server 2012 R2 远程桌面授权模式尚未配置

windows server 2012 R2 远程桌面授权模式尚未配置,远程桌面服务将在120天内停止工作。如何破解这个宽限期,目前企业7位协议号码均不包含20...

46710

扫码关注云+社区