作者: Paul Ducklin
每當一個新的惡意軟體爆發,很多問題就隨之出現…
…但有些問題很難拿捏!
如果問題顯而易見卻不知道答案,那有多糗?
又如果都是小問題,但還是很煩人呢?
是不是有什麼以前忽略的事情真的需要注意,甚至必須開始重視?
這就是了…
問:這次新的 “Petya” 勒索軟體爆發是什麼情形?
在 2017 年 6 月 27 日,在許多國家的不同組織都報導發現新的勒索軟體攻擊。
各地對這個惡意軟體的名稱略有不同,甚至有點亂,分別是 Petya、GoldenEye、WannaCry2、NotPetya、PetrWrap 和 PetyaWrap。
Sophos 偵測到這個惡意軟體的主要檔案是 Troj/Ransom-EOB,但在本文中��們使用 PetyaWrap 這個名稱,因為它更醒目。
問:為什麼稱為 PetyaWrap?
這種新勒索軟體的本質幾乎與 2011 年被稱為 Petya 的勒索軟體相同。
與大多數勒索軟體加密資料檔案,但電腦仍可啟動 Windows 並運作一般應用程式不同,Petya 是從磁區層級加密磁碟,所以電腦根本無法正常開機。
但是,PetyaWrap 變種比原始的 Petya 勒索軟體功能更強。
PetyaWrap 使用了一系列來自其他惡意軟體系列的一些概念和元件,包括 GoldenEye 和 WannaCry,被包裝成一個新的勒索軟體變種,比原來的Petya 更為強大。
因此為了力求精準,本文中使用 PetyaWrap 這個名稱。
問:PetyaWrap 使用了哪些惡意軟體手法?
與 WannaCry 相似,PetyaWrap 是一個電腦蠕蟲,意味著它可以自我傳播。
PetyaWrap 可以在您的網路上自我複製,然後自動啟動新的副本而不用等待使用者閱讀電子郵件、開啟附件或透過網頁連結下載檔案。
如同 GoldenEye 勒索軟體,PetyaWrap 會加密您的資料文件,只有攻擊者知道解密密鑰,所以沒有他們的幫助,您將無法解密檔案。
此外,在傳播並加密您的資料之後,PetyaWrap 還會與原始的 Petya 惡意軟體相同:它會從磁區層級加密磁碟,使您無法存取 C 碟,即使您將該磁碟插入另一台電腦也是如此。
問:PetyaWrap 如何在我的網路上傳播?
首先,它會使用 WannaCry 的手法,試圖攻擊一對重要的 Windows 安全漏洞。這些資訊是竊自美國國家安全局 (NSA),並被一個稱為 Shadow Brokers 的駭客所外洩。(所使用的主要弱點名稱是採用原始 NAS 的命名:ETERNALBLUE)
如果您已經套用了 Microsoft 發佈的修補程式來阻擋 WannaCry,那麼您就已經有能力阻擋這部分的 PetyaWrap 攻擊。
其次,它嘗試使用常見的 Windows 遠端執行工具 PsExec 來傳播。PetyaWrap 中內建一個 PsExec 軟體的副本,因此不需要事先下載它即可發動攻擊。
PsExec 是 Microsoft 自己 Sysinternals 套件的一部分,經常被網路犯罪份子濫用,成為由外界進入網路的巧門。
請注意,如果受感染的電腦沒有足夠的帳戶權限在受攻擊的目標執行命令,PsExec 就無法正常工作。因此這是不隨時使用系統管理員帳戶的好理由,即使對 IT 人員來說隨時使用它有方便。
第三,PetyaWrap 會在記憶體中窺探並尋找密碼,以便提高其存取權限和取得存取網路上其他電腦的系統管理權限。
窺探密碼使用的是 Mimikatz 工具套件中名為 LSADUMP 的密碼抓取工具修改版。如 PsExec 所示,這個駭客工具內嵌在 PetyaWrap 程式中,同樣無須事先下載。
問:使用防禦 WannaCry 的修補程式就夠了嗎?
不。
如上所述,PetyaWrap 有三個傳播手法,其中 WannaCry 手法是第一個。
如果 WannaCry 漏洞被修補了,PetyaWrap 會嘗試使用 PsExec;如果又沒效,它會再嘗試使用 LSADUMP 和 Windows 管理界面 (WMI) 來接管您的網路。
套用 WannaCry 修補程式是必要的,但是還不夠。
問:Sophos 產品可以阻止 PetyaWrap 用來傳播的元件嗎?
是。
包含 WannaCry 型蠕蟲程式碼的主要 PetyaWrap 程式會被視為惡意軟體:Troj/Ransom-EOB。
第二個傳播手法 PsExec 程式會被視為可能不需要的應用程式 (PUA):PsExec of type Hacktool。
第三個傳播手法 LSADUMP 窺探工具會被視為惡意軟體:Troj/Mimikatz-A。
問:如果勒索軟體試圖加密您的檔案和磁碟時,Sophos 產品可以阻擋勒索軟體元件嗎?
是。
Sophos Intercept X (和 Sophos Home Premium Beta) 包括主動式惡意軟體阻擋工具,可以偵測、阻擋和修復勒索軟體活動的影響。
CryptoGuard 可以偵測和阻擋 PetyaWrap 的檔案加密行為。
WipeGuard 可以偵測和阻擋 PetyaWrap 加密磁區的行為。
問:如果我支付贖金,可以取回資料嗎?
我們懷疑這一點。
事實上,您覺得可以聯繫到這些犯罪份子的電子郵件地址已被停用,所以即使您想要,應該也無法進行交易。
問:PetyaWrap可否如WannaCry在互聯網上傳播?
不可。但同時亦可以。
WannaCry有兩個可同時運行的散播功能: 一個搜索您的LAN以試圖在本地散播;另一個對外在互聯網隨機找尋受害者。
PetyaWrap不會明顯地在互聯網試圖找尋新受害者,但會固定在您的LAN上,可能不想令其受到注視。
不幸的是,LANs (本地區域網路)通常不再真正是限於本地,包含遠程辦公室和僱員和外包商。
當然,一些遠端電腦可能是多過一個LAN的一部份,意味著它們作為兩個網路的”橋樑”,即使它們屬於完全不同的機構。
換句話說, PetyaWrap並不是旨在特意地在互聯網上擴散而設計,它亦不是以在有互聯的情況下避開進入其他人的網路以設計。
重要的是PetyaWrap使用Windows內建的網路工具作為下一步去向的路標,因此您可由您的電腦瀏覽伙伴公司的服務器,或從工作間點擊使用在家的電腦…
… 然後PetyaWrap亦可做同樣的事。
問:PetyaWrap 爆發是如何開始的?
我們無法確定。
一開始爆發時,線索指向一家生產稅務會計軟體的烏克蘭軟體公司,說名該公司更新伺服器的一個漏洞可能讓犯罪份子有機可乘,發展出第一波的感染潮。
Microsoft 聲稱掌握證據,認為該公司遭入侵的自動更新程序可能與較早的 PetyaWrap 爆發有關。
問:PetyaWrap 是否曾經出現在任何網路釣魚郵件中?
我們還沒有發現這個勒索軟體透過網路釣魚電子郵件傳播的證據。
但千萬不可大意!
網路釣魚電子郵件是惡意軟體 (尤其是勒索軟體) 最常使用的管道之一,以便成功進入您的組織。
問:下一步該怎麼辦?
即使您限制使用系統管理員的權限,像 PetyaWrap 這樣的勒索軟體也可能會造成很大的損害,因為大多數使用者都有權隨意讀取、寫入和修改自己的檔案。
不過若是讓如 PetyaWrap 這樣的網路蠕蟲取得系統管理員權限,那就更危險了。
所以,即使您沒有受到 PetyaWrap 的影響,為什麼不把它看作是一個改革的機會,徹底檢視您網路中使用者的權限,以及他們可以存取的資源?
建議採取以下動作:
- 檢視所有網域和本地系統管理員帳戶,修改容易被破解的密碼。如果您沒有測試自己的密碼長度,犯罪份子很樂於代勞。
- 檢視哪些員工擁有或可以取得其他使用者電腦的系統管理員權限。如果您認為您擁有不再需要的權限,請告知 IT部門並將其移除 ─ 為了您自己的安全和其他人的安全設想。
- 不要讓 IT 人員登入或執行任何具有系統管理員權限的軟體,除非明確需要。一旦完成系統管理工作後,IT 人員就應該降級回到一般使用者權限,即使不方便。
- 檢查您是否有任何應該限制在區域網路中,但是卻暴露在網際網路上的網路共用。如果您沒有檢查自己的網絡,犯罪份子很樂於代勞。
不要以為去年或上個月的安全設定,在今天仍然有效。
(本博文為翻譯本,內容以英文原文為準)
Leave a Reply