摘要
自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya。目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息。
原文链接:http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
勒索软件Nyetya概述
基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永恒之蓝(EternalBlue)攻击工具和Windows系统的WMI进行传播。与之前出现的WannaCry不同,此次的变种中没有包含外部扫描模块,而是利用了psexec管理工具在内网进行传播。
目前还没有完全确定该勒索软件的传播源头和路线,基于目前的分析,我们认为这个勒索软件的传播和感染,很可能与乌克兰的一款被称为MeDoc的会计管理软件的升级更新系统有关。思科Talos还在持续分析该勒索软件的传播源头。
思科Talos在今年4月份就发布了保护针对MS17-010攻击的Snort规则,对于此次发现的变种Talos已经将勒索软件的变种加入到了AMP(Advanced Malware Protection)的黑名单列表中。
勒索软件Nyetya的主要功能
思科Talos在被勒索软件感染的系统上,发现了一个名为Perfc.dat的文件,该文件的功能是进一步感染其他系统,它包含了一个还未被命名的模块,暂命名为#1,其功能是通过Windows API AdjustTokenPrivileges获取当前账号的管理员权限,一旦成功,该勒索软件将重写磁盘的启动分区记录MBR(Master Boot Record)。无论MBR重写成功与否,在完成感染一小时后,都将自动重启系统。
在勒索软件散播过程中,利用了NetServerEnum遍历所有可见的主机,然后扫描所有开放了TCP 139端口的主机,并将这些主机加入到易感染主机列表中。
一旦主机被感染后,勒索软件会使用以下三种方式进行传播:
· EternalBlue – 永恒之蓝,与WannCry相同的入侵方式。
· Psexec – Windows系统自带的管理工具。
· WMI - Windows Management Instrumentation,Windows系统自带的组件。
以上方式被用于勒索软件安装和运行perfc.bat程序,进一步感染其他内网主机。
利用当前用户的Window Token信息,在被感染的主机上psexec被用于运行下列指令来安装勒索软件(Talos还在分析获得Window Token的方式):
利用当前账号的用户名和密码信息,WMI被用于执行下面命令,实现上述相同的功能(Talos还在分析获得用户的凭证信息的途径):
思科发布最新防护规则
目前思科已经能够提供对该勒索软件防护的产品包括:
思科NGIPS/Snort Rules提供了下列Snort规则检测该勒索软件:
· 42944 - OS-WINDOWS Microsoft Windows SMB remote code execution attempt
· 42340 - OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt
下列NGIPS/Snort Rules提供感染流量的检测告警:
· 5718 - OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param/Count OS-WINDOWS attempt
· 1917 - INDICATOR-SCAN UPnP service discover attempt
· 42231 - FILE-OFFICE RTF url moniker COM file download attempt
· 5730 - OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt
AMP发布了感染指数告警:
· W32.Ransomware.Nyetya.Talos
SHA256哈希值:
· 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
思科勒索软件防护促销包发布
为了更好地帮助各行业用户应对后续可能发生的勒索软件攻击变种和升级危机,思科大中华区安全部门在中国大陆推出了勒索软件防护Starter Bundle,整合了目前思科安全Firepower 2110、邮件安全设备C190、AMP高级恶意软件防护等产品,从Web和Email这两个勒索软件最重要的传播途径进行全面防护。
在此Starter Bundle中,必选组件部分包括:
· Firepower 2110 --在互联网出口检测并阻挡恶意勒索软件的进入
· 邮件安全网关C190 --检测并阻挡恶意勒索软件通过邮件的方式进入网络
· AMP End Point--安装在用户的终端的软件,阻挡勒索软件的恶意行为
在此Starter Bundle中,选配组件部分包括:
· Stealthwatch--快速发现网络异常,定位受感染的主机
· 高级安全服务--提供远程漏洞扫描和钓鱼软件模拟攻击测试的高级服务
好文章,需要你的鼓励
Zopa银行正式推出可在几分钟内开户的活期账户服务,面向其150万储蓄和贷款客户以外的更广泛用户群体。该账户此前已有6万名现有客户参与测试,正式发布时间比预期提前。作为金融科技先驱,Zopa在2020年获得完整银行牌照后推出首款储蓄产品,目前拥有140万客户,年收入超过3亿英镑,存款规模超过50亿英镑。
清华大学团队通过创新的"模式感知重排序"技术,解决了AI视频生成中注意力机制计算效率低下的问题。该技术将复杂分散的注意力模式重新整理成规整的块状结构,结合专门设计的稀疏化和量化策略,在保持生成质量的同时将计算速度提升1.9-2.7倍,为AI视频生成的普及应用铺平道路。
Mozilla正式推出Firefox 140浏览器,作为扩展支持版本(ESR)发布。新版本增加了标签页卸载功能,可清理内存并在需要时重新加载。垂直标签页用户可调整固定标签区域大小,隐私翻译功能现可跟随滚动位置优先翻译当前查看区域。Android版本支持批量选择标签页,私人标签可通过密码或指纹保护。该版本同时更新ESR 128用户,为下游项目如Waterfox和Thunderbird提供新版本基础。
哥伦比亚大学研究团队开发出新的AI偏见纠正技术,通过"重排序"方法让人工智能在总结政治观点时保持公正。该方法让AI生成多个版本后择优选择,结合偏好调优训练,显著提升了观点覆盖度和内容准确性,为构建更可信赖的AI系统提供了实用解决方案。