作者imasa (便当侠)
看板AntiVirus
标题Re: [新闻] 勒索病毒再次席卷全球
时间Wed Jun 28 12:18:37 2017
※ 引述《imasa (便当侠)》之铭言:
: https://goo.gl/CB4HE6
: According to several sources
: the author of this new Petya strain appears to have taken inspiration from
: last month's WannaCry outbreak, and added a similar SMB work based on the
: NSA's ETERNALBLUE exploit. This has been confirmed by
: Payload Security, Avira, Emsisoft, Bitdefender, Symantec,
: and other security researchers.
: 一样是利用之前SMB漏洞EternalBlue的勒索病毒
: 看来是受到Wannacry的启发
https://blog.kryptoslogic.com/malware/2017/06/28/petya.html
目前为止的分析文
除了原本的EternalBlue感染方式外
Petya还加上利用Psexec和Wmic的Laternal Movement手法
去执行mimikatz 来dump 当前电脑的credential
之所以更新还会中招的电脑
就是因为自己的credenial有在这些被感染的电脑内
更新防范方式:
[短期]
先挡目前这波的Petya
在以下路径下新增档案并设唯读
C:\Windows\perfc
C:\Windows\perfc.dll
C:\Windows\perfc.dat
这几个路径是Petya的工作档案,如果档案读取失败Petya就会停止执行
可能对之後的变种无效
[长期]
1. Firewall阻挡139和445 port (for psexec)
2. 停用Winmgmt(Windows Management Instrumentation)服务 (for wmic)
3. 停用SMBv1或更新MS17-010 patch
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.120.24.158
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1498623521.A.92B.html
1F:推 abramtw: 这个要怎麽防范呢 06/28 12:24
2F:推 oldface: FW连入规则 关闭445 06/28 13:14
※ 编辑: imasa (59.120.24.158), 06/28/2017 13:32:03
3F:推 deadwood: 推 06/28 13:50
4F:推 aabbabcd: 能解释一下 1.2项後的for wmic跟psexec 是什麽意思? 06/28 14:04
5F:推 alyh: 请问 停用Winmgmt是否会影响电脑运作? 查了一下好像是什麽重 06/28 14:05
6F:→ alyh: 要的系统服务? 不很是懂... @@ 06/28 14:05
7F:推 yangzhe: 关掉WMI不会有什麽副作用吗 06/28 14:06
8F:→ imasa: for wmic跟psexec是指针对Petya的这个感染途径 06/28 14:07
9F:→ imasa: 关掉WMI会有很多副作用,不少合法服务依赖他运作 06/28 14:08
10F:→ imasa: 所以请自己评估 06/28 14:08
11F:→ sigurose: WMI主要作用在於可容许远端登入电脑读取系统服务资讯或 06/28 14:10
12F:→ sigurose: 执行某些指令 06/28 14:11
13F:推 dustlike: 帐户没有密码控制的话WMI应该不会运作吧? 06/28 14:25
14F:→ imasa: Petya是用工具找出登入受害者电脑的帐号密码的 06/28 14:39
15F:→ imasa: 所以一台伺服器受感染,其他有存取这台机器的人都可能中招 06/28 14:39
16F:推 abramtw: 谢谢提供防范方法 06/28 14:49
17F:推 abramtw: 刚刚把WMI关闭 发现RDP还是可以用 只有security center会 06/28 15:08
18F:→ abramtw: 被关闭 06/28 15:08
19F:推 shadowblade: security center被关闭会有什麽影响吗 06/28 15:59
20F:推 louis925: 卡巴斯基不是已经说这波跟 Petya 是不同的吗? 叫Expetr 06/28 16:19
21F:→ sam613: WMI下面依存的是ICS和IP Helper 06/28 18:49
22F:推 apple830927: Win10会中吗 06/28 19:02
23F:→ SPzero: 目前看起来机率应该会比win7或XP小,但就不表示没有中奖的 06/28 19:08
24F:→ SPzero: 可能性,最好还是可以先依照原PO说法关闭相关功能吧!另外 06/28 19:09
25F:推 abramtw: Security Center本身并没有任何防护能力 而是检查firewal 06/28 19:09
26F:→ abramtw: l和防毒有无安装开启 06/28 19:09
27F:→ SPzero: 也可参考香港电脑保安事故协调中心(HKCERT)所提供防范措施 06/28 19:10
30F:推 abram: 谢谢sam613大分享 依guyrleech的建议做成一个reg档 点两下 06/28 20:58
32F:推 HGJman: 楼上大大做的下载後执行就可以了吗?谢谢~ 06/28 23:09
33F:推 abram: 是的 06/28 23:10
34F:→ JiangMt: 感谢^^ 06/28 23:40
35F:推 BEDA: 长期措施只做第一项和第三项,没停用WMI的话是否依旧会中招? 06/29 09:50
36F:推 DINJIAPC: 其实就是关闭共享放弃区域网路 06/30 22:29
37F:→ DINJIAPC: 比较麻烦的是很多宿舍内网本身就有问题而用户还是习惯关 06/30 22:33
38F:→ DINJIAPC: 墙关防毒.要架区网建议改用有密码的hfs分享吧 06/30 22:33
39F:推 sysop5566: 推这篇专业 07/03 05:33
40F:推 ThisIsNotKFC: 谢谢分享 07/19 18:41