您當前的位置是:  首頁 > 新聞 > 國內(nèi) >
 首頁 > 新聞 > 國內(nèi) >

Petya勒索軟件突襲全球并迅速蔓延 Check Point支招應對

2017-06-29 11:27:07   作者:   來源:CTI論壇   評論:0  點擊:

  勒索軟件攻擊一波未平,一波又起,正當全球企業(yè)對WannaCry猶有余悸之際,6月27日又爆發(fā)了一起新一輪的大規(guī)模勒索軟件攻擊,目前影響最嚴重的是烏克蘭,包括烏克蘭中央銀行、政府機構和私人企業(yè)都受到攻擊。
  盡管這輪攻擊所采用惡意軟件尚未確定,但一些研究人員推測它是Petya的一種變體,此種勒索軟件不是針對單個文件而是對整個硬盤驅(qū)動器進行加密。 Check Point以色列捷邦安全軟件科技有限公司的分析顯示,這次攻擊也采用了Loki Bot來進行憑據(jù)盜竊。分析還發(fā)現(xiàn)此款勒索軟件采用“橫向移動”(Lateral Movement) 方式進行攻擊,能充分利用服務器信息區(qū)塊(SMB)的漏洞。
  Check Point研究實驗室發(fā)表的簡報詳情如下:
  • Loki-Bot惡意軟件的感染鏈如下:RTF文件下載受感染的xls,其中包含惡意的js腳本,從而從另一個放置區(qū)域提取可執(zhí)行文件,可執(zhí)行文件是Loki Bot。
  • Petya 勒索軟件利用SMB漏洞進行“橫向移動”攻擊,這與WannaCry中使用的漏洞有點不同。我們會持續(xù)更新具體細節(jié)。
  • Loki Bot的感染載體如下:包含RTF文件的惡意電子郵件。 RTF利用CVE-2017-0199下載xlsx誘餌文件。 “xlsx”文件的二進制文件包含由RTF文件執(zhí)行的js腳本。當它運行時,腳本下載Loki的exe文件并執(zhí)行它。
  • 目前仍然沒有確定Loki-Bot與勒索軟件攻擊有關。
  • Petya的“橫向移動”利用服務器信息區(qū)塊(SMB)協(xié)議和HTTP流量,受感染的機器通過發(fā)送ARP請求掃描內(nèi)部網(wǎng)絡。然后對此進行回應的機器將啟動SMB通信,稍后添加HTTP通信。最終,這兩臺機器都被加密,通信停止。
  Check Point正密切關注該勒索病毒的攻擊,并會及時發(fā)表更新簡報。以下是Check Point 關于抗拒勒索軟件的方案建議:
  • 采用Check Point SandBlast, SandBlast Agent 和 Anti-Bot防御 Petya 勒索軟件和Loki Bot的攻擊
  • Check Point IPS可防御相關的SMB漏洞
  • Sandblast: https://www.checkpoint.com/products/sandblast-network-security/
  • Sandblast Agent:https://www.checkpoint.com/products/endpoint-sandblast-agent/
  • Anti-bot:https://www.checkpoint.com/products/anti-bot-software-blade/
  • IPS:https://www.checkpoint.com/products/ips-software-blade/
  點擊以下鏈接查看我們的深度分析:
  http://freports.us.checkpoint.com/petyavar/ 
  Check Point以色列捷邦安全軟件科技有限公司
  Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專注于安全的解決方案提供商,為各界客戶提供業(yè)界領先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡到移動設備的安全保護,以及最全面和可視化的安全管理方案。Check Point現(xiàn)為十多萬不同規(guī)模的組織提供安全保護。

專題