/ 2017-06-28
27日晚间,名为“petya”的勒索病毒在全球范围内爆发。据外媒hackernews报道,27日晚间消息,乌克兰境内包括国家储蓄银行(oschadbank)、privatbank 银行在内的几家银行机构、 电力公司 kyivenergo 、国家邮政(ukrposhta)均遭受petya病毒的大规模网络攻击。
病毒分析
经过深信服千里目安全研究团队研究发现,petya勒索病毒是一种新型病毒,主要采用邮件钓鱼、蠕虫等组合进行传播。在传播过程中主要涉及windows两个重要漏洞。漏洞一:(cve-2017-0199) rtf漏洞
cve-2017-0199允许攻击者利用此漏洞诱使用户打开处理特殊构造的office文件在用户系统上执行任意命令,从而控制用户系统。
简单来讲,就是攻击者可以将恶意代码嵌入word等office文档中,在无需用户交互的情况下,打开word 文档就可以通过自动执行任意代码。
在通常的攻击场景下,用户收到一个包含恶意代码的office文件(不限于rtf格式的word文件,可能为ppt类的其他office文档),点击尝试打开文件时会从恶意网站下载特定的 hta程序执行,从而使攻击者获取控制。
在本次petya勒索病毒事件中,攻击者首先利用cve-2017-0199漏洞通过邮件方式进行钓鱼投毒,建立初始扩散节点。
漏洞二:ms17-010(永恒之蓝)smb漏洞
ms17-010(永恒之蓝)smb漏洞是今年4月方程式组织泄露的重要漏洞之一。
“永恒之蓝”利用windows smb远程提权漏洞,可以攻击开放了445 端口的 windows 系统并提升至系统权限。
tcp 端口 445在windows server系统中提供局域网中文件或打印机共享服务,攻击者与445端口建立请求连接,能够获得指定局域网内的各种共享信息。
在通过rtf漏洞建立初始扩散节点后可利用ms17-010(永恒之蓝)smb漏洞感染局域网中开放445端口建立共享服务的所有机器。
病毒危害
petya病毒是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。
不同于传统勒索软件加密文件的行为,petya是一个采用磁盘加密方式,通过目前的行为分析发现,其加密的文件类型只有65种,但是已经包含了常见的文件类型。受害者一旦中招则需要支付价值300美金的比特币赎金才能获得解密。
安全建议
1、在经过上个月wannacry勒索病毒应急工作中打下了良好基础,该病毒目前尚未在我国大面积传播。受影响用户请在这段时间抓紧时间更新漏洞补丁。
(cve-2017-0199) rtf漏洞补丁地址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/cve-2017-0199
s17-010(永恒之蓝)smb漏洞补丁地址:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
2、提防钓鱼邮件,遇到携带不明附件和不明链接的邮件请勿点击。
https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html
http://sec.sangfor.com.cn/download?file=wannacrytool.zip
- / 2020-02-15
- / 2020-02-14
- / 2020-02-15