标签: Petya

Petya 勒索软件肆意传播彻底暴露了来自“软件更新”的威胁

在计算机安全建议列表中,用户系统 “ 软件更新 ” 的重要性仅次于 “ 不使用 ‘ password ’ 作密码 ”。不久前,Petya 事件致使全球成千上万的网络系统瘫痪,甚至威胁到银行、企业、交通运输与电力公司基础设施。事实证明,软件自动更新本身就是这一病原载体。网络安全分析师警示,Petya 并非黑客通过劫持软件自身免疫系统传播病毒的唯一或最后一起事件。 安全公司 ESET 与思科 Talos 研究人员上周发表了一份关于黑客入侵乌克兰小型软件公司 MeDoc 网络系统的详细分析报告,指出 80% 的乌克兰企业都在使用该公司出售的一款财务软件。据悉,黑客早在今年 4 月就已开始向软件更新注入恶意代码,传播 MeDoc 软件后门版本。6 月下旬,黑客向软件更新注入 Petya 并从初始 MeDoc 网络入口肆意传播,中断制药巨头 Merck、航运公司 Maersk、乌克兰电力公司 Kyivenergo 与 Ukrenergo 等网络系统。 后门乘法 令人感到不安的不仅包括以数字瘟疫为表征的持续威胁,还包括那些在不自知情况下传播恶意软件的更新。迪拜 Comae Technologies 创始人 Matt Suiche 表示:“ 我想知道是否有类似软件公司遭受攻击,它们极有可能是类似攻击事件的根源。” ESET 还指出,除了 MeDoc 软件,黑客还采用其他手段感染大量乌克兰计算机。调查显示,他们先攻击一家不知名的软件公司并利用其 VPN 连接将勒索软件植入少数目标,随后再将 MeDoc 作为恶意软件传递工具。 约翰霍普金斯大学(John Hopkins University)教授马修·格林(Matthew Green)表示,黑客将软件更新转化为系统漏洞的主要原因可能是 “ 白名单 ” 作为安全措施的现象日益频繁,严格限制了计算机上的安装程序,促使黑客从自行安装恶意软件转为对白名单程序进行劫持。随着企业薄弱环节遭受勒索软件攻击而中止服务,供应商不幸成为后续攻击目标。然而,现有防御措施却极为有限。 目前,开发人员为防止软件更新遭受破坏普遍采取的一项基本安全措施是代码签名,要求使用不可伪造的加密密钥对添加到应用程序的任何新代码进行签名。而 MeDoc 公司系统并未实施代码签名,这将允许任何可拦截软件更新的黑客充当 “ 中间人 ” 并将其改为后门。但即便实施签名,也不意味万无一失,因为有些黑客已深入公司网络,即有机会窃取密钥并针对恶意更新进行签名,或直接将后门添加至可执行程序源代码。 虚假疫苗 据悉,研究人员应阻止用户更新、修补软件或禁用自动更新软件,因为像 Google 与微软这样的大公司面临产品多样化的趋势。此外,通过劫持更新方式传播恶意软件的另一潜在威胁可能就是各企业的过度反应。前 ACLU 技术专家 Chris Soghoian 表示:“ 让消费者质疑安全更新的后果可能更为严重。” 代码签名无疑会使软件更新复杂化。为了破坏代码,黑客需要对目标公司具有更深层的访问权限。这意味着从 Google Play Store 或 Apple App Store 下载或更新的签名软件相对更加安全,但这并不等于 App Store 不存在安全隐患。在高度敏感的网络环境中,即使是 “ 可信 ” 应用程序也不应完全信任。即系统管理员需要对网络系统进行详细划分,限制被列入白名单的软件权限并对文件进行及时备份,积极应对任何勒索软件爆发事件。 原作者:Andy Greenberg,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

攻击发生后 Petya 勒索病毒创作者首次公开发表声明,要求 25 万美元赎金

上周,全球多个国家遭受名为 Petya 勒索病毒的攻击。据外媒报道,Petya 勒索病毒创作者于 7 月 5 日首次公开发表声明。Motherboard 首先发现了存留在 DeepPaste 的这份声明, 其该声明虽然提供了攻击中使用的私人解密密钥,但同时也表示获取这些解密密钥,需缴纳赎金 100 比特币,相当于约 25 万美元。 至关重要的是,该声明包括了一个签署了 Petya 私人解密密钥的文件,这个强有力的证据表明这份声明是来自 Petya 勒索病毒创作者。更具体地说,它证明任何人留下这些信息的人肯定掌握了解锁被 Petya 病毒感染的个人文件所需的私人密码。因为病毒删除了某些引导文件,所以有可能会完全恢复整个系统,但还不确定是否能恢复个人文件。 此外,该消息还包括指向一个聊天室的链接,恶意软件创作者曾讨论了赎金的金额,尽管自那以后该聊天室一直处于未激活状态。目前为止,还未发现有人向 Petya 病毒创作者支付 100 比特币。在第一轮 Petya 病毒袭击后,黑客共收到了约 10000 美元的赎金。 稿源:cnBeta,封面源自网络

安全措施薄弱:散播 Petya 勒索软件的乌克兰公司面临刑事指控

上周肆虐全球的勒索软件,其实是从一个非常简单的攻击开始的。独立安全分析师 Jonathan Nichols 在乌克兰软件公司 MeDoc 的更新服务器上发现了一个脆弱到惊人的漏洞,使之成为了本轮攻击的中心。研究人员认为,许多初期感染,都是 MeDoc 上的一个“有毒更新”所引发的,即恶意软件将自己伪装成了一个软件更新。 不过根据 Nichols 的研究,由于 MeDoc 的安全措施太过脆弱,想要发出带毒更新的操作变得相当简单。 在扫描了该公司的基础设施之后,Nichols 发现 MeDoc 的中央更新服务运行在老旧的 FTP 软件之上,而当前许多公开提供的软件都可以轻松将它攻破。 这属于一个严重的安全问题,几乎可以让任何人通过该系统传播带毒内容。目前尚不清楚 Petya 攻击者利用了具体哪个漏洞,但这种过时软件的存在,已暗示有多种进入其系统的方法。 Nichols 表示 ——“从可行性上来说,任何人都可以做到,攻击者会对此感到有十足的信心”—— 即便他自己因为害怕犯罪而没有试图利用该漏洞。 由于忽视的这方面的漏洞,MeDoc 已经收到了来自乌克兰当局的刑事指控。乌克兰网警负责人 Serhiy Demydiuk 在接受美联社采访时表示: 该公司早已因为安全措施松懈而遭到多次警告,其知晓这一点,且被多家反病毒企业多次告知…… 对于这样的疏忽,涉及本案的人将面临刑事诉讼。 [ 编译自:TheVerge ] 稿源:cnBeta,封面源自网络

US-CERT 发布 Petya 最新变体预警及应对措施

据外媒 2 日报道,美国国土安全部(DHS)计算机应急响应小组(US-CERT)发布 Petya 勒索软件最新变体预警(TA17-181A), 提醒组织机构尽快对软件进行升级,避免使用不支持的应用与操作系统。 美国国土安全部下属网络安全与通信整合中心(NCCIC)代码分析团队输出一份《恶意软件初步调查报告》(MIFR),对恶意软件进行了深度技术分析。在公私有部门合作伙伴的协助下,NCCIC 还以逗号分隔值形式提供用于信息分享的输入/出控制系统(IOC)”。 此份预警报告的分析范围仅限曝光于 2017 年 6 月 27 日的 Petya 最新变体,此外还涉及初始感染与传播的多种方法,包括如何在 SMB 中进行漏洞利用等。漏洞存在于 SMBv1 服务器对某些请求的处理过程,即远程攻击者可以通过向SMBv1服务器发送特制消息实现代码执行。 US-CERT 专家在分析 Petya 勒索软件最新样本后发现,该变体使用动态生成的 128 位秘钥加密受害者文件并为受害者创建唯一 ID。专家在加密秘钥生成与受害者 ID 之间尚未找到任何联系。 “尽管如此,仍无法证明加密秘钥与受害者 ID 之间存在任何关系,这意味着即便支付赎金也可能无法解密文件”。 “此 Petya 变体通过 MS17-010 SMB 漏洞以及窃取用户 Windows 登录凭据的方式传播。值得注意的是,Petya 变体可用于安装获取用户登录凭据的 Mimikatz 工具。窃取的登录凭据可用于访问网络上的其他系统”。 US-CERT 分析的样本还通过检查被入侵系统的 IP 物理地址映像表尝试识别网络上的其他主机。Petya 变体在 C 盘上写入含有比特币钱包地址与 RSA 秘钥的文本文件。恶意代码对主引导记录(MBR)进行修改,启用主文件表(MFT)与初始 MBR 的加密功能并重启系统、替换 MBR。 “从采用的加密方法来看,即便攻击者收到受害者ID也不大可能恢复文件。” US-CERT建议组织机构遵循 SMB 相关最佳实践,例如: • 禁用 SMBv1 • 使用 UDP 端口 137-138 与 TCP 端口 139 上的所有相关协议阻止 TCP 端口 445,进而阻拦所有边界设备上的所有 SMB 版本。 “ US-CERT 提醒用户与网络管理员禁用 SMB 或阻止 SMB 可能因阻碍共享文件、数据或设备访问产生一系列问题,应将缓解措施具备的优势与潜在问题同时纳入考虑范畴”。 以下是预警报告中提供的防范建议完整列表: • 采用微软于 2015 年 3 月 14 日发布的补丁修复 MS17-010 SMB 漏洞。 • 启用恶意软件过滤器防止网络钓鱼电子邮件抵达终端用户,使用发送方策略框架(SPF)、域消息身份认证报告与一致性(DMARC)、DomainKey 邮件识别(DKIM)等技术防止电子邮件欺骗。 • 通过扫描所有传入/出电子邮件检测威胁,防止可执行文件抵达终端用户。 • 确保杀毒软件与防病毒解决方案设置为自动进行常规扫描。 • 管理特权账户的使用。不得为用户分配管理员权限,除非有绝对需要。具有管理员账户需求的用户仅能在必要时使用。 • 配置具有最少权限的访问控制,包括文件、目录、网络共享权限。如果用户仅需读取具体文件,就不应具备写入这些文件、目录或共享文件的权限。 • 禁用通过电子邮件传输的微软 Office 宏脚本。考虑使用 Office Viewer 软件代替完整的 Office 套件应用程序打开通过电子邮件传输的微软 Office 文件。 • 制定、研究并实施员工培训计划以识别欺诈、恶意链接与社工企图。 • 每年至少对网络运行一次定期渗透测试。在理想情况下,尽可能进行多次测试。 • 利用基于主机的防火墙并阻止工作站间通信。 原作者:Pierluigi Paganini,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

乌克兰政府指责俄罗斯对该国进行网络攻击

乌克兰安全部队 SBU 负责人上周指责俄罗斯最近对乌克兰发动 Petya 网络攻击事件。 SBU 表示,它在十二月份获得了与俄罗斯网络袭击基辅的数据证据。乌克兰 SBU 表示,这次网络攻击没有任何真正的机制来确保攻击者收到赎金,并且解密受影响的文档,导致 SBU 相信赎金只是一个幌子,其真正目的为了打击该国的企业和国家机构。 俄罗斯对这些指控作出了回应,认为这是毫无根据的。俄罗斯表示,自己国家的实体公司和机构也受到恶意软件的严重影响,这表明它们也是攻击的具体目标这促使几名安全研究人员表示俄罗斯不应该对这次攻击负责。 在 Petya 网络攻击之初,我们就报道德国 ISPPosteo 已经封掉了袭击者给出的联系电子邮件帐户,让用户无法联系黑客解密他们的文件。因此,SBU 说,赎金只是对国家级攻击的掩护。在 2016 年 12 月,最后一次 Petya 袭击当中,该国的金融,运输和能源系统受到网络攻击的影响,其中基辅受到一次停电影响。 由于网络攻击的本质,可能无法证明谁是实际的犯罪份子,近年来,据推测,俄罗斯方面发动攻击的方式已经有很大的变化,可以掩饰发动攻击时候的真正位置,让受害者很难知道攻击者是谁。 稿源:cnBeta,封面源自网络

北约表态:未来若爆发网络攻击或遭政府武力干涉

随着 Petya 勒索软件在全球范围内大肆爆发,北约与英国在谈及网络话题时态度转为强硬。政府与军方承诺将针对此类事件给予更强有力的回应。在 6 月 28 日新闻发布会上,北约秘书长斯托尔滕贝格(Jens Stoltenberg)表示,应将针对联盟成员的网络攻击视为军事问题,与传统海陆空及空间、信息战列为同等级别。 斯托尔滕贝格于 Petya 恶意软件在乌克兰境内爆发 24 小时后、蔓延至其他 60 个国家前的黄金时段发表讲话,声称未来此类攻击事件可能触犯《北大西洋公约》第 5 条规定,即一旦成员国受到攻击,其他成员国将立刻作出回应。 上个月 WananCry 的大规模爆发感染了 150 个国家境内 200,000 台主机。斯托尔滕贝格称此类网络攻击行为强调了网络防御的重要性。 “我们正在履行网络防御承诺,确保在加强北约网络防御的同时对北约盟友施与援助。北约成员国之间共享最佳实践与技术、在整合彼此特色功能、加强北约网络防御能力方面取得更加紧密的合作。此外,各成员国还对网络攻击可能触犯第 5 条规定表示一致认同。” 在 Petya 爆发的前几天,英国政府网络由于议会电子邮件系统遭到入侵而处于封锁状态。调查发现,黑客从社交媒体公司窃取的议员账户登录凭据也被纳入在线交易行列。 真要采取军事行动? 6 月 27 日,英国国防部长迈克尔•法伦(Michael Fallon)警告说,“黑客针对英国计算机网络系统的攻击活动或将引发海、陆、空或网络空间任意战场的回应”。但考虑到此类事件的隐晦性,安全情报机构应如何确定打击目标仍有待探讨。 据《镜报》消息,迈克尔•法伦在为查塔姆社下属智库成立致辞时表示:“我们正在建设一支 21 世纪新型网络战队。这支战队将为我们如何在网络空间竞赛中保持领先地位提供建议。”他还在讲话中重申了“第 5 条”可用于大型网络攻击事件的观点,同时强调军方回应必须根据发起者类型加以区分(例如,网络犯罪分子、恐怖主义分子、激进主义黑客、国家政府等)。 “显而易见,在这件事情上必须设定可供判断的明确界限,例如,是否对国家、公民日常生活造成威胁,而这也是我们迫使北约意识到网络攻击的危害与其他类型物理战不相上下的原因所在”。 与此同时,BBC 也展开相应报道。迈克尔•法伦表示,在确认犯罪者身份后应予以稽查扣留。英国安全情报机构已开始建设各方面能力,包括“以其人之道还治其人之身”的网络战等。此外,相关机构应尽快认识到网络进攻是国家武器库必不可少的一部分。“目前,我们已掌握了揭露、追捕、起诉网络犯罪分子的能力,可以在选定时间段内对任何攻击做出回应。” 此类事件并非史无前例。据《卫报》报道,2015 年,21 岁英国青年 Junaid Hussain (昵称 Trick,Team Poison 黑客组织成员 )就曾因涉嫌参与伊斯兰国一系列网络攻击活动而在美军空袭中丧生。 《英国国家网络安全战略( 2016 – 2021 年)》围绕英国网络进攻能力做出以下陈述:“我们致力于检测、理解、调查、摧毁针对我方的一切敌对行动。如果情势需要,我方有办法在网络空间内采取必要进攻。” 原作者:Jason Murdock,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软:Petya 勒索软件只影响了约 2 万台电脑

本周早些时候,Petya 勒索软件攻击几乎让每个人都惊奇,全球许多 Windows  电脑瘫痪了,其中大部分是运行 Windows 7 的操作系统。与之前的 WannaCry 勒索软件相比,Petya 勒索软件使用了相同的 SMB 漏洞,并且更复杂一些,但新的证据表明,疫情没有我们想象的那么糟糕。 微软昨天在其Windows安全博客上解释说:Petya 勒索软件是高度复杂的恶意软件,但是我们的遥测结果显示,Petya 勒索软件的受害率远远低于我们的预期,受害电脑数量不到 2 万台电脑。据该公司称,这次袭击事件在乌克兰开始,并且传播到其他国家的电脑上,而且,微软称,受感染的大都是 Windows 7 电脑。微软以前在今年早些时候为这种类型的漏洞发布了一系列补丁。 微软的博客文章还揭示 Petya 勒索软件有趣细节,其中包括 Petya 蠕虫行为的影响受到其设计的限制:首先,Petya 可以传播到其他电脑的执行时间有限。 作为其执行命令的一部分,它仅限与在电脑重新启动系统之前执行传播,此外,微软发现这种蠕虫代码不会在成功重新引导的受感染电脑上再次运行。最后,Petya 会对操作系统的引导代码造成一些损害,但是,在某些具体情况下,仍然有一些启动恢复选项。 总的来说,微软仍然担心这类型的勒索攻击复杂性越来越高,该公司正在敦促消费者和企业将他们的 PC 更新到更安全的 Windows 10。Windows 10 有防御措施可以减轻像 Petya 这样的勒索攻击。本周早些时候,该公司还宣布,下一代安全功能将于今年晚些时候在秋季创作者更新中推出。 稿源:cnBeta,封面源自网络

安全专家表示:Petya不能叫“勒索病毒” 因为它意在破坏系统

新浪科技北京时间 6 月 29 日早间消息,信息安全分析师指出,将 Petya 称作“勒索病毒”可能是不恰当的。这款恶意软件的代码和其他证据表明,Petya 的目的可能是针对乌克兰的网络展开间谍活动,而进行勒索只是一种伪装。 勒索病毒的基本规则是,如果你付款给攻击者,那么就可以拿回自己的数据。如果攻击者没有履行承诺,那么消息传出后将不会有人再支付赎金。那么,如果病毒导致数据完全不可找回,是否还可以称得上“勒索病毒”?因此,Petya 并不是勒索病毒,其动机并不是为了赚钱。考虑到 Peyta 起源于乌克兰的网络,因此一种推测是,Petya 的目的就是破坏这些网络。 随着关于这款病毒的更多信息曝光,这是许多专家提出的观点。Comae 的马特·苏奇(Matt Suiche)和其他人本周将 Petya 的代码与去年的类似攻击进行了比较。2017 年的 Petya 似乎经过了特别修改,通过改写硬盘的主引导记录,导致对用户数据的编码不可逆。攻击者的电子邮件地址似乎也已下线,导致受害者无法支付赎金。 来自伯克利国际计算机科学研究所的消息显示,Petya 是一种“蓄意、恶意、破坏性的攻击,也可能是伪装成勒索病毒的测试”。《连线》杂志报道称,乌克兰基辅的信息安全机构表示,攻击者已经在乌克兰的系统中存在几个月时间,很可能已掩盖了他们传播病毒的痕迹。(邱越) 稿源:新浪科技,封面源自网络

Petya 恶意软件肆虐:荷兰 TNT Express 快递业务大受影响

作为联邦快递(FedEx)旗下的一家子公司,席卷全球的 “Petya” 病毒已经对总部位于荷兰的 TNT Express 的运营造成了显著的影响:“虽然国际国内航运服务仍在运营,但延迟已经不可避免”。公告发布后不久,联邦快递选择了将股票暂时停牌,即便该公司旗下其他子公司并未受到影响。FedEx 在一份声明中解释称:“当前无法衡量服务中断造成的确切经济损失,但会尽快部署补救措施和应急计划,措施包括借助联邦快递自有服务来帮助 Express 递送积压的货物”。 Petya 病毒于近日跨欧洲大肆传播,波及了大量企业与服务,比如乌克兰央行的计算机系统、城市地铁、基辅机场、丹麦航运巨头马士基,甚至连切尔诺贝利核电站都切换到了手动辐射监测模式。 稿源:cnBeta.COM,封面源自网络

威胁预警 | 新型勒索软件 Petwrap 肆虐全球,乌克兰电力、机场及俄石油公司受大规模影响

HackerNews.cc 北京时间 28 日跟进,感染乌克兰境内多家银行、政府、电力公司、邮政、机场设施以及俄罗斯石油公司 (Rosneft)的“未知病毒”被证实为 Petwrap 勒索软件,又称ExPetr 或 NotPetya,尽管其与之前的勒索软件 petya 极其相似,但它仍被认为是一种新型勒索软件。目前就连乌克兰境内切尔诺贝利核电站辐射监测系统也受到勒索软件影响,工场区域的辐射监测已改为手动进行。 勒索软件全球感染范围 目前 Petwrap 主要针对乌克兰,俄罗斯和西欧企业,截止 28日0 时仅卡巴斯基实验室就已检测到 2000 多次攻击: 仅卡巴斯基监测到的各国受 Petwrap 感染统计图(截止 28日0 时) ** 勒索软件 Petwrap 没有所谓的“开关域名”,目前尚无详细统计数据 勒索软件 Petwrap 如何传播 勒索软件 Petwrap 也像 WannaCry 那样通过 SMBv1 EternalBlue (永恒之蓝)漏洞感染未打补丁的 Windows 设备,但并不会对目标系统中的所有文件逐个加密。最重要的是拥有凭据管理器的单一受感染系统能够通过 WMI 或 PSEXEC 感染网络上的其他计算机,对局域网的威胁或比 WannaCry 更大。 国外安全研究员指出,若 Windows 系统中存在文件 “c:\windows\perfc.dat” 可触发本地 kill 开关。(仅在被感染之前起作用,但亦有研究员表示并未起效果) (勒索软件特征、样本分析可阅读卡巴斯基最新报告) 文件解密的可能性 很不幸,对于已感染勒索软件 Petwrap 的受害者而言,目前尚无解密方案。 勒索软件 Petwrap 向受害者索取 300 美元赎金并要求将钱包号码通过邮件发送至 “wowsmith123456@posteo.net” 进行确认,这一方法确实有效然而遗憾的是,目前此邮件账号已被关闭。 我们能做什么?  1、安装强大的反病毒软件对预防勒索软件有一定效果(但不绝对) 2、确保更新 Windows 系统以及第三方软件至最新版本 3、不要打开任何非可信来源的附件、安装包 4、将重要数据定期备份至外部设备并保持脱机状态 HackerNews.cc 提醒广大 Windows 用户及时修复系统漏洞,尤其是安装微软发布的“永恒之蓝”(MS17-010)补丁以防感染恶意软件。此前国内各大安全厂商针对 WannaCry 提出的恶意软件预防方案依旧有效(但不绝对)。   HackerNews.cc  我们将为您持续关注“Petwrap 勒索软件”最新动态。 —— 2017-06-27 23:00 第二次更新 —— 2017-06-28 06:00 第三次更新 —— 2017-06-28 11:30 第四次更新