24小时接单的黑客

联系黑客,怎么找黑客,黑客怎么找,黑客接单,破解系统

petya病毒及变种的工作原理(petya病毒样本下载)

  一、Petya事件描述 1.1漏洞背景

  在2016年的三月到四月,Petya恶意勒索软件开始传播,相对于其他勒索软件进行一个个文件加密不同的是,它采用了修改Master Boot Record(MBR) 启动引导阻止用户进入系统,并引导进了一个很小的恶意内核系统,然后再进行加密。

  在2017年 6月27日晚上,根据国外报道消息,新的变种Petya出现了,它在和旧版本的区别是采用了office word文档漏洞(CVE-2017-0199),通过发送邮件的方式进行传播,用户打开恶意邮件触发漏洞后会从“http ://french-cooking.com/myguy.exe”下载恶意程序执行。然后会通过NSA泄露的0day工具永恒之蓝利用445端口smb协议(CVE-2017-17010)在内网,通过法国神奇minikatz抓密码等工具进行传播扩散。

  1.2 利用的漏洞传播介绍

  1.2.1 OFFICE OLE2LINK(CVE-2017-0199)

  Petya利用已知的office 远程命令执行漏洞,在不需要交互的情况下,打开word文档就能通过hta脚本执行任意代码,Petya结合了这个漏洞进行了传播,相比之前的word宏病毒漏洞,这个漏洞不需要交互更加的隐蔽,传播效果更佳完善。

  1.2.2 永恒之蓝 CVE-2017-17010

  NSA工具泄露事件已经炒的沸沸扬扬,从去年的防火墙漏洞到今年的windows系统服务(SMB,RDP,IIS)等远程命令执行工具,其中就有永恒之蓝工具程序,Petya通过利用永恒之蓝漏洞扫描开发的445文件共享端口进行内网的横向扩散。

  1.3 样本md5列表

  

  1.4 其他情况介绍

  目前即使支付赎金也无法拿回加密文件,因为攻击者联系邮箱已经关闭。

  目前受到攻击国家主要包括乌克兰、俄罗斯、波兰、意大利、德国等。我国国内尚未出现大范围感染情况。

  目前网上流传域名开关”kill switch”,之前wannacry也存在过,可以参考之前的文章,这个开关的作用是阻止恶意软件传播,但是关于这次的开关,虽然恶意Petya确实有验证产生一个特殊文件到C:Windows下,但是这并不能保证其他样本的验证文件名字也是一样的,而且也无法肯定这是一个开关。

  二、Petya样本功能分析

  2.1 Petya样本运行流程

  对样本文件进行本地测试复现。

  测试环境为win7 64位Vmware虚拟机。

  样本文件027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

  文件MD5值为:

  

  样本文件本身是一个动态链接库DLL文件,需要用其他程序调用,于是写了一个简单程序调用DLL文件。以管理员身份运行程序调用DLL。

  调用之后看到样本文件已经自删除。

  

  重启虚拟机提示CHKDSK在修复扇区,过程比较漫长。

  经过几分钟等待之后,勒索界面出现了。

  

  用另外一台机器抓取这台机器的流量,可以看到它在利用永恒之蓝探测我另外一台机器的445、139等端口。

  

  

  

  2.2 样本深入分析

  样本为DLL,导出函数perfc_1,执行时将代码复制到堆上执行,卸载原模块,之后执行修改MDR、设置自动关机、加密磁盘文件、通过SMB漏洞传播等操作。

  进程行为:

  cmd.exe

  shutdown.exe

  rundll32.exe

  schtasks.exe

  wevtutil.exe

  fsutil.exe

petya病毒及变种的工作原理(petya病毒样本下载)

  dllhost.dat

  字符串:

  wevtutilcl Setup & wevtutil cl System & wevtutil cl Security & wevtutil clApplication & fsutil usn deletejournal /D %c:

  schtasks%ws/Create /SC once /TN "" /TR "%ws" /ST %02d:%02d

  shutdown.exe/r /f

  /RU"SYSTEM"

  %s/node:"%ws" /user:"%ws" /password:"%ws"

  processcall create "C:WindowsSystem32rundll32.exe "C:W

  indows%s"#1

  %sadmin$

  %wsadmin$%ws

  替换MBR相关部分代码截图:

  1、样本主体为动态链接库, 该库导出了一个编号为1的函数. 样本由该导出函数开始执行.该函数首先尝试修改本进程相关权限, 包括计算机关闭等。

  

  

  2、该样本会使用Windows 文件操作篡改本地磁盘的MBR信息, 向物理磁盘写入开机显示勒索信息的代码。

  从物理磁盘读取MBR信息的代码。

  

  加密原始MBR信息。

  

  保存一个疑似比特币钱包地址的东西到内存变量中 。

  

  接着从样本中读取恶意MBR数据。

  

  以下是从内存中提取出来的mbr代码。

  

  写入恶意MBR到磁盘中。

  

  利用计划任务固定时间间隔以后强制重启计算机

petya病毒及变种的工作原理(petya病毒样本下载)

  构造计划任务参数列表。

  启动cmd程序, 执行计划任务添加命令。

  

  

  内网主机搜寻过程

  利用微软DHCP接口枚举内网中的主机, 同时尝试使用SOCKET连接对应IP地址确认是否可以联通。

  1、枚举内网主机

  2、使用socket测试连接探测主机是否存活

  从样本资源中提取mimikatz程序并执行

  1、从样本的资源目录中锁定mimikatz资源, 保存到磁盘中。

  

  

  2、创建命名管道。

  

  3、创建mimikatz进程同时使用管道重定向子进程的输出设备, 用以控制mimikatz进程。

  

  释放Psexec

  释放资源到windows目录,文件名为dllhost.dat,为Sysinternal中的的PsExec.exe

  

  内网主机感染

  用CreadEnumerate API枚举内网主机,并过滤TERMSRV

  

  

  使用永恒之蓝传播

创建线程,通过SMB漏洞进行传播。

从全局变量中获取传染目标。

尝试2次攻击发包。

  

  

  加密勒索本地文件

  1、遍历磁盘,对于每个固定磁盘创建一个线程,加密其中的文件:

  2、硬编码的AES-128加密key,以及对每个固定磁盘创建线程。

  递归查找文件,比较后缀名。同时跳过C:Windows目录。

  3、加密文件内容。

  4、写入通知文本:

  5、执行wevtutil命令清除事件日志:

  

  三、修复防护建议

  3.1影响版本

  Windows xp, Window 7 , Windows 10, Windows2003, Windows 2008

  3.2补丁地址

  永恒之蓝补丁:

  https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

  https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

  Office Word远程代码执行漏洞补丁:

  https://technet.microsoft.com/zh-cn/office/mt465751.aspx

  3.3手工修复

  3.3.1 及时更新操作系统补丁,安装MS17-010补丁。

  3.3.2关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口。

  3.3.3加强对445等端口(其他关联端口如:135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为。

  3.3.4定期在不同的存储介质上备份信息系统业务和个人数据。

  3.3.5 windows停止更新的系统补丁,xp补丁已经提供,请尽快下载打好补丁https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

  3.3.6开启防火墙。

  3.4其它建议

  3.4.1加强管理员工安全意识培训,外来邮件加白名单。

  3.4.2加强密码策略,不使用弱口令空密码。

  3.4.3 禁用WMI服务

  关闭(WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具)执行命令。

  热点推荐

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.