又一个星期过去了,我们又有了一个星期ransomware病毒爆发最初是由于恶意软件升级而停止的,最终在内部网络中通过几种方法传播开来——包括ShadowBrokers集团泄露的漏洞——“永恒之蓝”。

安全研究人员似乎不能抓住一个突破口,当它涉及到假期和重大恶意软件变种释放到野外。当我们中的许多人正在享受美好的暑假或通过炸小块来庆祝美国独立日时,@hasherezade他非常努力地解构这段代码,并向我们提供技术细节和发现。

我们会把我们所知道的和学到的东西,试着把这些令人难以置信的技术信息总结成一个简单的结构,让我亲爱的妈妈也能理解(爱你,妈妈!)

发生了什么事?

6月27日之前的某个时间th据报道,乌克兰软件公司M.E.Doc被一个不明身份的黑客组织渗透。攻击者设法在公司网络内(截至目前)未知的一段时间内未被发现,并能够利用大量资源,最终授权自己访问广泛使用的M.E.Doc软件的源代码和更新机制。

M.E.Doc制作并分发会计软件,主要针对乌克兰居民和企业实体,以及一些境外的企业。有报道称,该软件是乌克兰政府授权的,尽管我们找不到这一说法的事实参考。无论如何,乌克兰人口和乌克兰以外的许多组织都在使用该软件。

利用之前攻破M.E.Doc系统所提供的全系统访问权限,攻击者能够花一些时间来了解网络基础设施,并熟悉M.E.Doc源代码。

6月27日th在美国,攻击者利用M.E.Doc软件的软件更新机制,分发流行会计软件的一个新编译版本,该版本包含恶意代码,用勒索软件的变体感染系统。任何配置为自动执行更新的系统都可能在不需要任何用户交互的情况下被感染。

一旦感染发生,代码就会被配置成使用永恒之蓝和双脉冲星模块瓦纳克里事件传播到网络上其他脆弱的系统。这使得恶意代码不仅可以感染使用M.E.Doc软件的机器,还可以感染网络上的任何其他机器。

除了永恒蓝和双脉冲星,3研发部党务研究人员发现了美国国家安全局衍生的漏洞“永恒浪漫”(EternalRomance)被用来感染任何连接到受影响网络的机器。这种特殊的漏洞利用两种内置的Windows管理工具,即PSExec和WMI,来帮助在远程连接上执行恶意软件。本质上,这允许恶意软件感染所有它能感染的机器——包括任何通过VPN连接到企业服务器的家庭机器。

易受影响的计算机感染勒索软件后,主文件表(MFT)和主引导记录(MBR)电脑的密码被加密,MBR也被覆盖以显示勒索信。

赎金注意

主文件表和主引导记录都用于向PC提供指示,说明按下电源按钮后该做什么,以及重要文件在磁盘上的位置。如果没有对这两个文件进行适当的配置,计算机系统就不能正常启动,因此也就无法正常启动。

为什么这个恶意软件的名字很奇怪?

当研究人员开始理解代码时,各种各样的名字被用来命名恶意软件家族。NotPetya, Expetr, EternalPetya,甚至是简单的Petya都被用来描述恶意软件。这么多研究人员想出了一个类似的命名惯例,这似乎很奇怪,但这就是这种特殊感染变得有趣的地方。

这种特定的感染方法是Petya勒索软件家族的同义词。此外,勒索信的语言,加上反编译的恶意软件代码中的信息,使研究人员最初怀疑是同一恶意软件的作者对这两种变体负有责任。但随着研究人员进一步剖析这些代码,一些关键的差异开始显现。

首先,Petya和EternalPetya的不同之处在于,新发现的代码是利用美国国家安全局衍生的永恒之蓝、双脉冲星和永恒之浪漫模块传播到网络上相连的机器上。这将是原始Petya繁殖方法的一次新的进化。

其次,该恶意软件似乎是Petya勒索软件的编辑版本,而不是新编辑的版本。@hasherezade做了一个很棒的工作,在标题为永恒的彼佳包裹里又有一件偷来的东西.

在帖子中,@hasherezade解释说,Petya勒索软件的原始代码经过了巧妙的修改,而不是从头开始编写,以允许重用以前的恶意代码。这对新作者有很多好处,比如减少了从头开始编写勒索软件的工作量,并通过排除我们在其他毒株中看到的可能的语言线索(在其他事情中)来误导归因。

第三,自称是Petya勒索软件家族始作俑者的@JanusSecretary在一个休眠的Twitter账户上发帖声称我们回来看看" notpetya "也许用我们的私钥就能破解

贾纳斯推特

再加上原始恶意软件是经过编辑而不是编译的信息,可以得出这样的结论:Janus不太可能参与了代码的传播,而只是永恒petya作者的替罪羊。

如果不是@JanusSecretary,我们能责怪谁?

这是典型的恶意软件菌株,归类可能是困难的,如果不是不可能。恶意软件作者采取了重要的步骤来掩盖他们的踪迹,并利用许多匿名服务来隐藏他们的来源、意图和方法。

TOR、代理和VPN被用来隐藏识别连接信息。比特币和其他数字货币被用来隐藏支付信息。加密货币挂钩被用来混淆数字货币交易,从而混淆了对原始来源的追踪。至少在这个案例中,一个著名的勒索软件家族被窃取,作为迷惑原始作者的手段。

虽然我们不能完全排除@JanusSecretary参与了EternalPetya,但信息表明,情况可能并非如此。当一个新的变体可以更容易地用新的信息编译时,就不需要经过修改原始恶意软件变体的麻烦了。

那还能是谁呢?

这些天来,把所有与恶意活动有关的事情都归咎于俄罗斯,乌克兰政府没有浪费时间。

7月1日乌克兰国家安全局(SBU)声称2016年12月攻击其电网的黑客也是造成永恒彼佳爆发的原因。乌克兰政府很快就指责俄罗斯发动了“永恒彼佳”袭击,但克里姆林宫发言人驳斥了这一说法,称其为“毫无根据的全面指控”。俄罗斯政府也指出俄罗斯国有石油公司俄罗斯石油公司(Rosneft)和钢铁制造商耶夫拉兹(Evraz)等本国公司也受到了影响。

事实上,我们没有发现任何迹象表明“永恒petya”是俄罗斯或国家支持的攻击,我们也没有看到任何妥协指标(国际奥委会的)表明其他情况。

相反,最合理的解释是,一群老练的攻击者设法进入一家被广泛使用的软件公司,并利用这一权限发布已知勒索软件变体的修改版本,以此向受感染用户勒索付款。

虽然这只是猜测,但所有指标都表明这是最合理的解释。

重复

未优化的代码是重用的指示器

可以检索加密文件吗?

简而言之,这可能不太可能。与“想哭”病毒爆发时一样,这种恶意软件变体的作者在支付和解密方法上犯了一些严重错误。正如@hasherezade在标题为永恒的彼佳和丢失的萨尔萨20钥匙”,在被读取并用于加密算法后,存储的Salsa密钥将从磁盘的.

在之前的Petya版本中,Salsa密钥(基本上是可以锁定或解锁内容的密钥)是用攻击者的公钥加密的,并转换为散列字符串。这意味着,尽管像我们在EternalPetya上看到的那样,Salsa密钥从磁盘上被删除了,但拥有私钥的攻击者仍然可以使用该密钥来解密它。

本质上,EternalPetya变体的作者删除了解密文件时至关重要的密钥,因此解密文件的可能性非常小。

解密密钥的这一缺陷导致了这种特定恶意软件变体最初被称为“雨刷”与“勒索软件”的矛盾。不管指定的是什么,受害者都在支付赎金,希望获得他们的档案。无法保证支付将成功恢复文件,而那些支付的人总是在冒险。这就是勒索软件的行为。

此外,攻击者配置恶意代码显示的电子邮件地址已被电子邮件提供商终止。这使得受感染的用户无法联系攻击者并安排解密文件。

因此,除非将来出现使用主密钥或加密例程中的缺陷的解密程序,否则受感染的用户不太可能有办法恢复他们的文件。

那么,接下来呢?

7月3日研发部,乌克兰网络警察负责人表示M.E.Doc正在接受调查,可能面临与该事件有关的指控。据报道APNews当前位置乌克兰国家网络警察部门负责人谢里·德米迪乌克上校(Col. Serhiy Demydiuk)在接受美联社(the Associated Press)采访时表示,总部位于基辅的M.E. Doc的员工无视有关其信息技术基础设施安全的多次警告。

“他们知道这件事,”他告诉美联社,“他们被各种反病毒公司多次告知。对于这种疏忽,涉案人员将面临刑事责任。”

7月4日th,乌克兰联邦警察查获了M.E.Doc使用的几台计算机服务器。据报道,视频很快出现在网上,显示乌克兰联邦警察突袭了M.E.Doc设施,并建立了对该财产的控制。虽然我承认我不会说乌克兰语,而且据我所知,这些家伙可能在谈论营救小猫,但我相信这段视频准确地描述了对M.E.Doc设施的袭击。

此外,在撰写本文时,M.E.Doc网站与使用相同IP的其他域一样处于脱机状态。出于所有意图和目的,至少在目前,M.E.Doc可以作为软件实体进行操作。

需要注意的是,目前的M.E.Doc用户不应该使用或升级软件,直到进一步通知,但随着围绕着没收M.E.Doc服务器的发展,我不确定用户是否应该屏住呼吸期待。

我们学到了什么?

显然,我们没有从过去几个月爆发的“想哭”病毒中学到什么。虽然M.E.Doc服务器的狡猾感染确实提供了一种独特的传播方法,但美国国家安全局衍生的漏洞的成功使用,给网络连接机器的感染留下了很少的借口。

人们开始很难同情冷漠的It管理员,因为他们没能应用可用的更新来解决“永恒之蓝”、“双星”和“永恒之浪漫”的漏洞。这些问题已经得到了充分的讨论,并引起了全世界的关注。

缓解技术适用于所有利用驱动的发行版方法,包括从应用Microsoft更新到手动禁用SMB功能的所有内容。

我们可以向这些IT管理员推荐他们配备的必威平台APPMalwarebytes端点保护,其中包括反利用和反勒索软件技术,他们本可以保护他们的用户免受这类攻击——但说实话,我不确定他们是否会听,即使我们听了。

因此,我们将把我们的信息集中于这个博客的忠实读者,以及像我亲爱的母亲这样需要了解恶意攻击可能来自任何途径和任何时间的人。永远不要低估你电脑上数据的安全性,因为你可能会在某天早上醒来,发现你所有最有价值的文件要么被劫持了,要么更糟,无论花多少钱都无法完全恢复。

确保有价值的文档定期备份,并保存到离线或云存储解决方案。并确保您使用可靠和技术先进的安全产品,如必威平台APP以帮助保护您的敏感信息,并确保您不会成为这类破坏性攻击的受害者。

虽然这可能不是最理想的解决方案,但在当前高度发展和复杂的恶意软件时代,强大的防御策略是最好的,它能够在几秒钟内销毁所有最重要的文件。