更新6/30:

Microsoft Windows 10 Enterprise包含一个名为"凭据保护"的功能。此功能可以防止某些攻击者工具使用众所周知的技术（如传递哈希攻击）破坏管理凭据。启用此功能将阻止NotPeya获取本地凭据以在本地网络中传播（蠕虫组件使用的方法之一）。更多信息：如下：https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guardhttps://mva.microsoft.com/en-us/training-courses/deep-dive-into-credential-guard-16651?l=pdc37LJyC_1204300474https://blogs.technet.microsoft.com/mmpc/2017/06/29/windows-10-platform-resilience-against-the-petya-ransomware-attack/微软还将在9月/10月发布windows10的一项新功能，该功能支持某些文件和文件夹，并应为最终用户和企业提供另一种防范勒索软件的工具。此功能称为"受控文件夹访问"。更多信息：https://thehackernews.com/2017/06/windows10-controlled-folder-access-ransomware-protection.html用于创建安装ID的恶意代码可能会被用于为每个受害者创建自定义解密密钥，这些恶意代码是随机生成的，没有用。库德尔斯基安全部门重申：不要支付赎金。

更新时间：美国东部时间下午5:30

正如我们经常看到的这些全球疫情和应对情景，信息可能会迅速变化。以下是我们从最初的咨询中了解到的一些最新情况。

勒索软件实际上不是petya.a。它确实使用了一些组件，但今天的攻击中使用的恶意代码被构建成类似petya的样子在第一个变体中，似乎有一个终止本地加密的kill开关。恶意代码在C:\windows中查找自身的副本。文件名已标识为perfc.dat。不幸的是，它似乎仍然试图通过网络传播。有报道称，"零号病人"是一家总部位于乌克兰的金融科技公司我们已经看到有报道称，防御ddos最省钱的方法，在几分钟内，高防cdn空间，数家不同的机构就有数千台设备遭到破坏CVE-2017-0199不属于此恶意代码。它在早期被提到是相关的，但由于几乎同时检测到不同的攻击，很可能是一个误认感染的一般步骤ARP扫描检查/获取凭据（mimikatz或类似产品）Psexec执行WMI如果psexec失败，请使用eternalblue重新启动以加密如果客户端可以在重新启动完成之前捕获，则有报告称，可以通过不打开计算机并脱机恢复文件来保存文件。我们强烈要求在寻找到目前为止已经发布的一些国际奥委会的通用标准时要谨慎。其中一些会产生大量假阳性警报，特别是与CVE-2017-0199相关的警报（见#5）该恶意代码使用了一个假的MS证书和XOR来避免大多数当前的AV检测例程。不要付赎金。与比特币钱包关联的电子邮件无效。这种攻击和与之相关的代码远比我们看到的WannaCry更专业和危险。期望看到新的和创造性的方式，攻击者可以通过环境自动传播恶意代码。

随着新数据不断涌入CFC威胁监测组，以下突破性信息可能会发生变化。

Kudelski Security的网络融合中心的初步分析显示，这是一种新的攻击现有的交付、下载和恶意软件/勒索软件组件的组合。最初的感染媒介可能是通过网络钓鱼邮件或网络（均未确认）。一旦机器最初被感染，神盾的高防cdn，Petyawrap的蠕虫组件就开始通过几种不同的方法将勒索软件传播到本地网络上的其他机器上，包括Equation Group的EternalBlue漏洞（类似于WannaCry）。但是，此蠕虫还利用PSEXEC（一种远程管理计算机的方法）和Windows管理工具（WMI）感染已针对EternalBlue进行修补的计算机。

参考：

https://research.kudelskisecurity.com/2017/05/18/the-equation-groups-post-exploitation-tools-danderspritz-and-more-part-1/https://research.kudelskisecurity.com/2017/05/13/security-advisory-wcry2-ransomware-outbreak/

一旦机器最初被利用（通过EternalBlue或WMI），蠕虫就会开始安装Petya勒索软件变体(https://securelist.com/petrwrap-the-new-petya-based-ransomware-used-in-targeted-attacks/77762/),然后重新启动受影响的端点并开始加密过程。值得注意的是，勒索软件正利用微软3月份修补的漏洞和内置的Windows功能（如WMI和PSEXEC）进行传播。WMI和PSEXEC的使用使得这个蠕虫对可能已经针对EternalBlue和其他漏洞修补过的计算机有效。此勒索软件变种成功地自动化了高级攻击者传统上使用的高效方法的使用，通过远程执行代码在网络中无声地横向移动。

此变种可以很容易地在网络中传播，因为它缺少类似Wannacry的"kill switch"来减缓其传播。

由于对于EternalBlue漏洞和内置Windows管理功能（WMI），Cyber Fusion Center建议客户端采取以下操作：

在所有外部防火墙上禁用入站SMB使用内置的windows端点防火墙禁用入站SMB连接为组织中的所有终结点和服务器禁用SMBv1完全修补所有Windows系统确保员工不是加入域的计算机上的本地管理员（用于通过WMI和PSEXEC传播蠕虫而不利用漏洞）如果环境中没有严格控制PSEXEC和WMI，则强烈建议暂时禁用WMI（注意：这可能会影响合法的管理工具，如SCCM，禁用WMI，特别小心）

其他出口报告详细信息（快速发展）：

https://twitter.com/danielgallagher/status/879713478361182208

https://twitter.com/mikko/status/879703285321674752

https://twitter.com/payloadsecurity/status/879701663040319493

https://twitter.com/ankit5934/status/879681380686340096

https://twitter.com/mikko/status/879702057829138433

https://www.theverge.com/2017/6/27/15879480/petrwrap病毒乌克兰勒索软件攻击欧洲万纳克里

https://www.forbes.com/sites/thomasbrewster/2017/06/27/ransomware-spreads-rapidly-hitting-power-companies-banks-airlines-metro/#334e663f7abd

https://twitter.com/0x09al/status/879702450038599681

https://twitter.com/gossithedog/status/879734018039836672

我们之前的高层建议：

组织必须审查和评估其漏洞和补丁管理计划，ddos防御中的七层防御技术，以确保信心、全面性和有效性。安全补丁是任何组织安全程序的基础和关键基础，应该被快速测试和应用。组织还应该执行"健康检查"并检查备份策略，防御ddos系统，定期测试备份，确保备份易于访问，同时还可以防止加密和删除。另外，组织应寻求实施严格控制，以限制攻击者常用的Windows工具（如PSEXEC和WMI）的使用。

CFC将继续监控客户端环境中的指标或此变体。

如果您有任何问题，请联系CFCcfc@kudelskisecurity.com或者打电话给CFC热线（基于地区，请参考客户门户获取您的电话号码）

作者最近的帖子库德尔斯基安全公司的Alton KizziahChief战略官Alton领导库德尔斯基安全运营团队，推动托管安全解决方案的发展，负责MSS和全球战略。Alton Kizziah的最新帖子（见全部）7个危险信号，在你的MSSP关系中寻找——2021年2月8日，通过评估员的视角：发现NIST CSF评估的价值——2020年9月22日，MSS已死；MSS万岁！-2018年2月26日

FacebookTwitterEmail分享