自2017年5月份經(jīng)歷勒索軟件WannaCry的大規(guī)模爆發(fā)后，思科Talos團(tuán)隊(duì)在6月27日發(fā)現(xiàn)了最新的勒索軟件變種，暫命名為Nyetya。目前已經(jīng)在多個國家發(fā)現(xiàn)了這個勒索軟件的感染事件，思科Talos團(tuán)隊(duì)正在積極分析并不斷更新最新的防護(hù)信息。

　　勒索軟件Nyetya概述

　　基于新勒索軟件變種的樣本分析顯示，勒索軟件借助了之前被多次利用的永恒之藍(lán)(EternalBlue)攻擊工具和Windows系統(tǒng)的WMI進(jìn)行傳播。與之前出現(xiàn)的WannaCry不同，此次的變種中沒有包含外部掃描模塊，而是利用了psexec管理工具在內(nèi)網(wǎng)進(jìn)行傳播。

　　目前還沒有完全確定該勒索軟件的傳播源頭和路線，基于目前的分析，我們認(rèn)為這個勒索軟件的傳播和感染，很可能與烏克蘭的一款被稱為MeDoc的會計管理軟件的升級更新系統(tǒng)有關(guān)。思科Talos還在持續(xù)分析該勒索軟件的傳播源頭。

　　思科Talos在今年4月份就發(fā)布了保護(hù)針對MS17-010攻擊的Snort規(guī)則，對于此次發(fā)現(xiàn)的變種Talos已經(jīng)將勒索軟件的變種加入到了AMP(Advanced Malware Protection)的黑名單列表中。

　　勒索軟件Nyetya的主要功能

　　思科Talos在被勒索軟件感染的系統(tǒng)上，發(fā)現(xiàn)了一個名為Perfc.dat的文件，該文件的功能是進(jìn)一步感染其他系統(tǒng)，它包含了一個還未被命名的模塊，暫命名為#1，其功能是通過Windows API AdjustTokenPrivileges獲取當(dāng)前賬號的管理員權(quán)限，一旦成功，該勒索軟件將重寫磁盤的啟動分區(qū)記錄MBR(Master Boot Record)。無論MBR重寫成功與否，在完成感染一小時后，都將自動重啟系統(tǒng)。

　　在勒索軟件散播過程中，利用了NetServerEnum遍歷所有可見的主機(jī)，然后掃描所有開放了TCP 139端口的主機(jī)，并將這些主機(jī)加入到易感染主機(jī)列表中。

　　一旦主機(jī)被感染后，勒索軟件會使用以下三種方式進(jìn)行傳播：

　　 EternalBlue – 永恒之藍(lán)，與WannCry相同的入侵方式。

　　 Psexec – Windows系統(tǒng)自帶的管理工具。

　　 WMI - Windows Management Instrumentation，Windows系統(tǒng)自帶的組件。

　　以上方式被用于勒索軟件安裝和運(yùn)行perfc.bat程序，進(jìn)一步感染其他內(nèi)網(wǎng)主機(jī)。

　　利用當(dāng)前用戶的Window Token信息，在被感染的主機(jī)上psexec被用于運(yùn)行下列指令來安裝勒索軟件(Talos還在分析獲得Window Token的方式)：

　　利用當(dāng)前賬號的用戶名和密碼信息，WMI被用于執(zhí)行下面命令，實(shí)現(xiàn)上述相同的功能(Talos還在分析獲得用戶的憑證信息的途徑)：

　　思科發(fā)布最新防護(hù)規(guī)則

　　目前思科已經(jīng)能夠提供對該勒索軟件防護(hù)的產(chǎn)品包括：

　　思科NGIPS/Snort Rules提供了下列Snort規(guī)則檢測該勒索軟件：

　　42944 - OS-WINDOWS Microsoft Windows SMB remote code execution attempt

　　 42340 - OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt

　　下列NGIPS/Snort Rules提供感染流量的檢測告警：

　　 5718 - OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param/Count OS-WINDOWS attempt

　　1917 - INDICATOR-SCAN UPnP service discover attempt

　　 42231 - FILE-OFFICE RTF url moniker COM file download attempt

　　5730 - OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt

　　AMP發(fā)布了感染指數(shù)告警：

　　 W32.Ransomware.Nyetya.Talos

　　SHA256哈希值：

　　 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

　　思科勒索軟件防護(hù)促銷包發(fā)布

　　為了更好地幫助各行業(yè)用戶應(yīng)對后續(xù)可能發(fā)生的勒索軟件攻擊變種和升級危機(jī)，思科大中華區(qū)安全部門在中國大陸推出了勒索軟件防護(hù)Starter Bundle，整合了目前思科安全Firepower 2110、郵件安全設(shè)備C190、AMP高級惡意軟件防護(hù)等產(chǎn)品，從Web和Email這兩個勒索軟件最重要的傳播途徑進(jìn)行全面防護(hù)。

　　在此Starter Bundle中，必選組件部分包括：

　　 Firepower 2110 --在互聯(lián)網(wǎng)出口檢測并阻擋惡意勒索軟件的進(jìn)入

　　郵件安全網(wǎng)關(guān)C190 --檢測并阻擋惡意勒索軟件通過郵件的方式進(jìn)入網(wǎng)絡(luò)

　　 AMP End Point--安裝在用戶的終端的軟件，阻擋勒索軟件的惡意行為

　　在此Starter Bundle中，選配組件部分包括：

　　 Stealthwatch--快速發(fā)現(xiàn)網(wǎng)絡(luò)異常，定位受感染的主機(jī)

　　 高級安全服務(wù)--提供遠(yuǎn)程漏洞掃描和釣魚軟件模擬攻擊測試的高級服務(wù)