Petya千亿体育分析报告_qy88VIP千亿体育 Petya千亿体育分析报告_qy88VIP千亿体育

qy88VIP千亿体育

Petya千亿体育分析报告

2017-06-29   

报道称,这轮体育足以与五月席卷全球的千亿体育的攻击性相提并论。与WannaCry相比,该体育会网站NTFS分区、覆盖MBR、阻止机器正常启动,使计算机无法使用。影响更加严重。

一、背景介绍

新千亿体育petya袭击多国,影响的国家有英国、乌克兰、俄罗斯、印度、荷兰、西班牙、丹麦等,包括乌克兰首都国际机场、乌克兰国家储蓄银行、邮局、地铁、船舶公司、俄罗斯的石油和天然气巨头 Rosneft, 丹麦的航运巨头马士基公司,美国制药公司默克公司,还有美国律师事务所DLA Piper,甚至是核能工厂都遭到了攻击。

报道称,这轮体育足以与五月席卷全球的千亿体育的攻击性相提并论。与WannaCry相比,该体育会网站NTFS分区、覆盖MBR、阻止机器正常启动,使计算机无法使用。影响更加严重。中毒后会显示如下界面:

网站时会伪装磁盘修复:

图-网站时伪装

网站后会显示如下千亿界面:

图-千亿信息

二、详细分析

攻击流程:

图-攻击流程

网站方式:

体育会写磁盘MBR主引导记录 ,重启之后就会运行体育代码,无法进入操作系统。

图-打开磁盘

开始写MBR

图-写MBR

并不会马上重启 通过设置计划任务,等待一定的时间之后再重启,重启之后就会执行网站

图-设置计划任务,延时重启机器

重启之后 执行MBR的代码网站MFT显示千亿信息

图-MBR中的代码

在设置完计划任务到重启计算机之前的这段时间,体育会网站本机指定格式的体育。并且利用体育和远程WMI方式,攻击局域网中的其它机器。

网站体育过程如下:

设置RSA公钥,并启动网站线程

图-RSA公钥

网站线程中执行网站体育的操作

调用网站函数,网站体育;调用写千亿信函数,写入千亿信息

图-网站线程

网站函数,遍历磁盘网站指定类型的体育

图-网站体育操作

网站的体育类型如下

图-网站体育类型

写千亿信息和 作者RSA公钥网站后的AES私钥 到README.TXT 。受害者看到千亿信息后要把AES私钥和比特币支付记录 发送到作者邮箱,作者用RSA私钥千亿后 把千亿后的AES私钥发送给受害者邮箱。输入AES私钥才能够千亿。

图-写千亿信息

加千亿过程如图:

图-网站过程

图-千亿过程

传播方式:

体育采用多种感染方式,主要通过邮件投毒的方式进行定向攻击,利用EternalBlue(永恒之蓝)和EternalRomance(永恒浪漫)体育在内网横向渗透。

图-体育利用

利用远程共享传播

图-局域网传播

利用WMIC ,在被攻击的远程机器中,运行复制过来的体育

图-利用WMIC启动被攻击机器中的体育

WMIC所使用的账号密码 user和password是通过 释放的Windows密码提取软件 获取的。

体育主模块从资源中找到并释放出 密码提取软件,利用管道和密码提取软件通信,密码提取软件会通过管道,把提取的密码 发送给体育主模块。体育主模块再利用WMIC的方式攻击局域网中的机器,使被攻击机器运行复制过来的体育。

根据系统是32位 还是64位 从资源中释放不同的版本的 密码提取软件

图-查找资源

释放并运行资源中的密码提取软件,然后创建一个线程使用管道与密码提取程序通信。

图-释放密码提取器,创建pipe通信线程

通过分析可知 体育需要创建perfc这个体育 如果此体育已经存在 则退出

可以利用此方法在Windows目录下 创建免疫体育

图-检测是否存在

千亿信息:

作者邮箱和比特币钱包地址

图-作者邮箱和钱包地址

千亿信,要求受害者支付价值$300的比特币到作者比特币钱包

图-千亿信

通过查看作者比特币钱包交易记录,发现已经有受害者向作者支付比特币。 德国的邮箱网站商posteo.net得知体育作者使用他们公司网站的邮箱,作为千亿邮箱之后,把体育作者邮箱冻结,导致体育作者无法使用邮箱。所以即使支付比特币,也不可能联系上作者,获得千亿密钥。

图-比特币钱包

三、防御措施

1.更新系统补丁MS17-010

此安全更新程序修复了 Microsoft Windows 中的多个体育。如果攻击者向 Windows SMBv1 服网站发送特殊设计的消息,那么其中最严重的体育可能允许远程执行代码。

https://technet.microsoft.com/zh-cn/library/security/MS17-010

2.安装杀毒软件

3.关闭admin$ 共享,防止局域网传播

运行cmd 输入 net share admin$ /delete

或使用 windows键+R 打开运行 输入命令

4.在windows目录下创建 perfc 并且体育属性设置为只读 可免疫此体育

四、IOC 千亿指标

MD5:

E-mail:wowsmith123456@posteo.net

比特币钱包:1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

[责任编辑:瑞瑞]

竞技宝导航千亿国际手机官网app国际龙8国际