摘要
自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队在6月27日发现了最新的勒索软件变种,暂命名为Nyetya。目前已经在多个国家发现了这个勒索软件的感染事件,思科Talos团队正在积极分析并不断更新最新的防护信息。
原文链接:http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
勒索软件Nyetya概述
基于新勒索软件变种的样本分析显示,勒索软件借助了之前被多次利用的永恒之蓝(EternalBlue)攻击工具和Windows系统的WMI进行传播。与之前出现的WannaCry不同,此次的变种中没有包含外部扫描模块,而是利用了psexec管理工具在内网进行传播。
目前还没有完全确定该勒索软件的传播源头和路线,基于目前的分析,我们认为这个勒索软件的传播和感染,很可能与乌克兰的一款被称为MeDoc的会计管理软件的升级更新系统有关。思科Talos还在持续分析该勒索软件的传播源头。
思科Talos在今年4月份就发布了保护针对MS17-010攻击的Snort规则,对于此次发现的变种Talos已经将勒索软件的变种加入到了AMP(Advanced Malware Protection)的黑名单列表中。
勒索软件Nyetya的主要功能
思科Talos在被勒索软件感染的系统上,发现了一个名为Perfc.dat的文件,该文件的功能是进一步感染其他系统,它包含了一个还未被命名的模块,暂命名为#1,其功能是通过Windows API AdjustTokenPrivileges获取当前账号的管理员权限,一旦成功,该勒索软件将重写磁盘的启动分区记录MBR(Master Boot Record)。无论MBR重写成功与否,在完成感染一小时后,都将自动重启系统。
在勒索软件散播过程中,利用了NetServerEnum遍历所有可见的主机,然后扫描所有开放了TCP 139端口的主机,并将这些主机加入到易感染主机列表中。
一旦主机被感染后,勒索软件会使用以下三种方式进行传播:
· EternalBlue – 永恒之蓝,与WannCry相同的入侵方式。
· Psexec – Windows系统自带的管理工具。
· WMI - Windows Management Instrumentation,Windows系统自带的组件。
以上方式被用于勒索软件安装和运行perfc.bat程序,进一步感染其他内网主机。
利用当前用户的Window Token信息,在被感染的主机上psexec被用于运行下列指令来安装勒索软件(Talos还在分析获得Window Token的方式):
利用当前账号的用户名和密码信息,WMI被用于执行下面命令,实现上述相同的功能(Talos还在分析获得用户的凭证信息的途径):
思科发布最新防护规则
目前思科已经能够提供对该勒索软件防护的产品包括:
思科NGIPS/Snort Rules提供了下列Snort规则检测该勒索软件:
· 42944 - OS-WINDOWS Microsoft Windows SMB remote code execution attempt
· 42340 - OS-WINDOWS Microsoft Windows SMB anonymous session IPC share access attempt
下列NGIPS/Snort Rules提供感染流量的检测告警:
· 5718 - OS-WINDOWS Microsoft Windows SMB-DS Trans unicode Max Param/Count OS-WINDOWS attempt
· 1917 - INDICATOR-SCAN UPnP service discover attempt
· 42231 - FILE-OFFICE RTF url moniker COM file download attempt
· 5730 - OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS attempt
AMP发布了感染指数告警:
· W32.Ransomware.Nyetya.Talos
SHA256哈希值:
· 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
思科勒索软件防护促销包发布
为了更好地帮助各行业用户应对后续可能发生的勒索软件攻击变种和升级危机,思科大中华区安全部门在中国大陆推出了勒索软件防护Starter Bundle,整合了目前思科安全Firepower 2110、邮件安全设备C190、AMP高级恶意软件防护等产品,从Web和Email这两个勒索软件最重要的传播途径进行全面防护。
在此Starter Bundle中,必选组件部分包括:
· Firepower 2110 --在互联网出口检测并阻挡恶意勒索软件的进入
· 邮件安全网关C190 --检测并阻挡恶意勒索软件通过邮件的方式进入网络
· AMP End Point--安装在用户的终端的软件,阻挡勒索软件的恶意行为
在此Starter Bundle中,选配组件部分包括:
· Stealthwatch--快速发现网络异常,定位受感染的主机
· 高级安全服务--提供远程漏洞扫描和钓鱼软件模拟攻击测试的高级服务
好文章,需要你的鼓励
知名的投资机构ICONIQ Capital发布了《开发者手册:2025年AI现状报告》,基于对300位企业高管的调研,包括CEO、工程负责人、AI负责人和产品负责人等关键决策者,涵盖了从初创公司到十亿美元巨头的各个发展阶段,深度剖析了当下企业AI产品应用的全貌,为我们呈现了一个从"如何构思、交付和规模化AI驱动业务"的完整路线。
中科大团队开发出LongAnimation系统,解决了长动画自动上色中的色彩一致性难题。该系统采用动态全局-局部记忆机制,能够为平均500帧的动画进行稳定上色,性能比现有方法提升35-58%。核心创新包括SketchDiT特征提取器、智能记忆模块和色彩优化机制,可大幅提升动画制作效率。
南开大学团队开发出DepthAnything-AC模型,解决了现有AI距离估算系统在恶劣天气和复杂光照条件下性能下降的问题。通过创新的扰动一致性训练框架和空间距离约束机制,该模型仅用54万张图片就实现了在雨雪、雾霾、夜晚等复杂环境下的稳定距离判断,同时保持正常条件下的优秀性能,为自动驾驶和机器人导航等应用提供了重要技术支撑。