作者imasa (便當俠)
看板AntiVirus
標題Re: [新聞] 勒索病毒再次席捲全球
時間Wed Jun 28 12:18:37 2017
※ 引述《imasa (便當俠)》之銘言:
: https://goo.gl/CB4HE6
: According to several sources
: the author of this new Petya strain appears to have taken inspiration from
: last month's WannaCry outbreak, and added a similar SMB work based on the
: NSA's ETERNALBLUE exploit. This has been confirmed by
: Payload Security, Avira, Emsisoft, Bitdefender, Symantec,
: and other security researchers.
: 一樣是利用之前SMB漏洞EternalBlue的勒索病毒
: 看來是受到Wannacry的啟發
https://blog.kryptoslogic.com/malware/2017/06/28/petya.html
目前為止的分析文
除了原本的EternalBlue感染方式外
Petya還加上利用Psexec和Wmic的Laternal Movement手法
去執行mimikatz 來dump 當前電腦的credential
之所以更新還會中招的電腦
就是因為自己的credenial有在這些被感染的電腦內
更新防範方式:
[短期]
先擋目前這波的Petya
在以下路徑下新增檔案並設唯讀
C:\Windows\perfc
C:\Windows\perfc.dll
C:\Windows\perfc.dat
這幾個路徑是Petya的工作檔案,如果檔案讀取失敗Petya就會停止執行
可能對之後的變種無效
[長期]
1. Firewall阻擋139和445 port (for psexec)
2. 停用Winmgmt(Windows Management Instrumentation)服務 (for wmic)
3. 停用SMBv1或更新MS17-010 patch
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.120.24.158
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1498623521.A.92B.html
1F:推 abramtw: 這個要怎麼防範呢 06/28 12:24
2F:推 oldface: FW連入規則 關閉445 06/28 13:14
※ 編輯: imasa (59.120.24.158), 06/28/2017 13:32:03
3F:推 deadwood: 推 06/28 13:50
4F:推 aabbabcd: 能解釋一下 1.2項後的for wmic跟psexec 是什麼意思? 06/28 14:04
5F:推 alyh: 請問 停用Winmgmt是否會影響電腦運作? 查了一下好像是什麼重 06/28 14:05
6F:→ alyh: 要的系統服務? 不很是懂... @@ 06/28 14:05
7F:推 yangzhe: 關掉WMI不會有什麼副作用嗎 06/28 14:06
8F:→ imasa: for wmic跟psexec是指針對Petya的這個感染途徑 06/28 14:07
9F:→ imasa: 關掉WMI會有很多副作用,不少合法服務依賴他運作 06/28 14:08
10F:→ imasa: 所以請自己評估 06/28 14:08
11F:→ sigurose: WMI主要作用在於可容許遠端登入電腦讀取系統服務資訊或 06/28 14:10
12F:→ sigurose: 執行某些指令 06/28 14:11
13F:推 dustlike: 帳戶沒有密碼控制的話WMI應該不會運作吧? 06/28 14:25
14F:→ imasa: Petya是用工具找出登入受害者電腦的帳號密碼的 06/28 14:39
15F:→ imasa: 所以一台伺服器受感染,其他有存取這台機器的人都可能中招 06/28 14:39
16F:推 abramtw: 謝謝提供防範方法 06/28 14:49
17F:推 abramtw: 剛剛把WMI關閉 發現RDP還是可以用 只有security center會 06/28 15:08
18F:→ abramtw: 被關閉 06/28 15:08
19F:推 shadowblade: security center被關閉會有什麼影響嗎 06/28 15:59
20F:推 louis925: 卡巴斯基不是已經說這波跟 Petya 是不同的嗎? 叫Expetr 06/28 16:19
21F:→ sam613: WMI下面依存的是ICS和IP Helper 06/28 18:49
22F:推 apple830927: Win10會中嗎 06/28 19:02
23F:→ SPzero: 目前看起來機率應該會比win7或XP小,但就不表示沒有中獎的 06/28 19:08
24F:→ SPzero: 可能性,最好還是可以先依照原PO說法關閉相關功能吧!另外 06/28 19:09
25F:推 abramtw: Security Center本身並沒有任何防護能力 而是檢查firewal 06/28 19:09
26F:→ abramtw: l和防毒有無安裝開啟 06/28 19:09
27F:→ SPzero: 也可參考香港電腦保安事故協調中心(HKCERT)所提供防範措施 06/28 19:10
30F:推 abram: 謝謝sam613大分享 依guyrleech的建議做成一個reg檔 點兩下 06/28 20:58
32F:推 HGJman: 樓上大大做的下載後執行就可以了嗎?謝謝~ 06/28 23:09
33F:推 abram: 是的 06/28 23:10
34F:→ JiangMt: 感謝^^ 06/28 23:40
35F:推 BEDA: 長期措施只做第一項和第三項,沒停用WMI的話是否依舊會中招? 06/29 09:50
36F:推 DINJIAPC: 其實就是關閉共享放棄區域網路 06/30 22:29
37F:→ DINJIAPC: 比較麻煩的是很多宿舍內網本身就有問題而用戶還是習慣關 06/30 22:33
38F:→ DINJIAPC: 牆關防毒.要架區網建議改用有密碼的hfs分享吧 06/30 22:33
39F:推 sysop5566: 推這篇專業 07/03 05:33
40F:推 ThisIsNotKFC: 謝謝分享 07/19 18:41