安天针对攻击乌克兰等国的“必加”(PETYA)病毒分析与应对
安天安全研究与应急处理中心(Antiy CERT)
初稿完成时间:2017年06月28日05时00分
首次发布时间:2017年06月28日05时00分
本版更新时间:2017年06月28日05时00分
1 概述
安天安全研究与应急处理中心(Antiy CERT)于北京时间2017年6月27日21时许关注到乌克兰银行等相关机构、政府首脑计算机遭到计算机病毒攻击的相关信息。综合各方威胁情报后,初步判断受影响最严重的国家是乌克兰(副总理Pavlo Rozenko、国家储蓄银行(Oschadbank)、Privatbank等银行、国家邮政(UkrPoshta)、国家电信、市政地铁、乌克兰首都基辅的鲍里斯波尔机场、电力公司KyivEnergo),其他部分国家均受到不同程度的影响,包括俄罗斯(俄罗斯石油公司(Rosneft))、西班牙、法国、英国、丹麦、印度、美国(律师事务所DLA Piper)等国家。
鉴于受到攻击目标的特殊性,为避免国内关键信息基础设施受到关联影响,安天决定启动A级安全风险预警进行应对,经数小时分析研判后,该病毒的传播方式有较大风险,但鉴于该病毒初始投放具有较强地域性特点,同时我国在“魔窟”(WannaCry)应急工作中打下了良好基础,现阶段该病毒尚未在我国大面积传播,建议将事件降为B级。
不同于传统勒索软件加密文件的行为,“必加”(Petya)是一个采用磁盘加密方式,进行敲诈。其早期版本只对MBR和磁盘分配表进行加密,并谎称全盘加密。其目前版本是否能完成全盘加密,安天分析小组尚在验证之中。
鉴于初始爆发地区的地缘敏感性、具备一定强度的扩散能力和所处的特殊攻击时点,安天目前认为这次事件不能完全排除是单纯经济目的的恶意代码攻击事件,亦不能直接判断是针对特定地区的定向攻击。虽然现阶段该病毒尚未在我国大面积传播,但其复合的传播手段具有较大安全风险。
安天同时提醒客户:鉴于样本会利用本机口令尝试登录其他计算机进行传播,因此进行包括口令强度在内的系统安全配置加固和及时的系统补丁策略,才可以较好的防御本病毒。安天此前就魔窟蠕虫所发布的免疫工具,对本病毒依然有效。
2 传播机理
在汇集了多方威胁情报后,样本间直接的关系仍不明确的情况下,经过对部分关键样本文件的跟进分析发现,这次攻击是勒索病毒“必加”(Petya)的新变种。该变种疑似采用了邮件、下载器和蠕虫的组合传播方式。从推理分析来看,该病毒采用CVE-2017-0199漏洞的RTF格式附件进行邮件投放,之后释放Downloader来获取病毒母体,形成初始扩散节点,之后通过MS17-010(永恒之蓝)漏洞和系统弱口令进行传播。同时初步分析其可能具有感染域控制器后提取域内机器口令的能力。因此其对内网具有一定的穿透能力,对内网安全总体上比此前受到广泛关注的魔窟(WannaCry)有更大的威胁,而多种传播手段组合的模式必将成为勒索软件传播的常态模式。
3 勒索模块分析
勒索模块是一个DLL文件,该文件被加载后遍历用户磁盘文件(除C:\Windows目录下),并对指定后缀名的文件进行加密,加密后不修改原文件名和扩展名。该文件修改MBR,同时,添加计划任务,在等待一段时间后,关闭计算机。当用户开启计算机时,会显示勒索界面和信息并无法进入系统。
3.1 样本标签
表 2 ‑ 1 二进制可执行文件
| 病毒名称 | Trojan[Ransom]/Win32.Petya |
| MD5 | 71b6a493388e7d0b40c83ce903bc6b04 |
| 处理器架构 | X86-32 |
| 文件大小 | 269.5 KB (275968 字节) |
| 文件格式 | BinExecute/Microsoft.DLL[:X86] |
| 时间戳 | 2017年06月26日 16:49:11+01:00 |
| 数字签名 | 有 |
| 加壳类型 | 无 |
| 编译语言 | Microsoft Visual C++ |
| VT首次上传时间 | 2017年06月27日 |
| VT检测结果 | 38 / 61 |
3.2.1 权限提升与内容加载
样本加载后,尝试提升自己所拥有的权限。所要求的权限为以下几种。
表 2 ‑ 2 样本所提升的权限
| 权限名称 | 权限内容 |
| SeShutdownPrivilege | 关闭计算机的权限 |
| SeDebugPrivilege | 修改和调试其他用户进程内存的权限 |
| SeTcbPrivilege | 与操作系统内核等同的权限 |
接下来,样本会遍历进程列表,查询特定的进程是否存在。并将自身文件内容读入内存后删除该文件。该样本还具有多种加载方式。例如使用WMI加载。
图 2 ‑ 1 使用WMI加载样本的命令
3.2.2 修改MBR
样本在加载后具有修改磁盘分区表的行为。通过DeviceIOControl来获取磁盘信息后,向第一块物理磁盘中写入显示勒索信息的代码。
图 2 ‑ 2 修改MBR的代码
该样本添加计划任务后,关闭计算机,当用户重新启动计算机后,计算机在伪造的CHKDSK界面后会显示勒索信息界面。
图 2 ‑ 3 CHKDSK界面
图 2 ‑ 4 被加密后的勒索信界面
3.2.3 计划任务创建
样本会将“关机” 这一操作,以命令行的方式添加到计划任务中。使系统在一段时间后强制关机。
图 2 ‑ 5 添加计划任务的代码
3.2.4 加密
该样本使用了微软的加密库进行加密。所使用的加密算法为RSA+AES(Microsoft Enhanced RSA and AES Cryptographic Provider)。
所使用的公钥被硬编码在程序中。
图 2 ‑ 6 加密所使用的公钥
除C:\Windows目录下外,所有盘符下的所有文件夹均会被加密。被加密的文件格式如下所示。
图 2 ‑ 7 被加密的文件格式
3.2.5 传播
该样本会释放出名为dllhost.dat的文件。该文件是微软Sysinternals工具集中的PsExec程序。该程序可用于在远程机器上执行命令。控制端和被控制端的数据传输都是通过445(Windows 2000)/135或139端口进行(非Windows 2000)。
3.2.6 日志清除
该样本使用了Windows自带的wevtutil工具进行日志清除工作。命令行如下所示。
图 2 ‑ 8 日志清除命令
4 风险防范与处置建议
4.1 影响操作系统
“必加”(Petya)勒索软件影响操作系统:Windows XP及以上版本;
4.2 如未被感染
1、邮件防范
由于此次“必加”(Petya)勒索软件变种首次传播通过邮件传播,所以应警惕钓鱼邮件。建议收到带不明附件的邮件,请勿打开;收到带不明链接的邮件,请勿点击链接。
2、更新操作系统补丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
3、更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
4、禁用WMI服务
禁用操作方法:https://zhidao.baidu.com/question/91063891.html
5、更改空口令和弱口令
如操作系统存在空口令或弱口令的情况,请及时将口令更改为高强度的口令。
6、免疫工具
安天开发的魔窟(WannCry)免疫工具,针对此次事件免疫仍然有效。
下载地址:http://www.antiy.com/tools.html
4.3 如已被感染
1、 如无重要文件,建议重新安装系统,更新补丁、禁用WMI服务、使用免疫工具进行免疫。
2、 有重要文件被加密,如已开启Windows自动镜像功能,可尝试恢复镜像;或等待后续可能出现解密工具。
5 总结
“必加”(Petya)一词一说为东欧女性的名字,来自斯拉夫语系;同时其更被作为一款前苏联的轻型护卫舰的名字。可以说,这个恶意代码从开始就展示出一定的地缘特点。“必加”(Petya)病毒所达成的后果,在勒索软件中是较为特殊的。其将导致计算机系统不能进入正常的系统启动流程,其即可达成勒索目的,其同样可以作为一种破坏载荷。由于其加密扇区,伪装成了系统卷出问题的磁盘检查过程,因此这种社工技巧,可以保证其完成加密作业的全程。而一旦其作为破坏载荷来使用,就同样可以达成和此前在乌克兰停电 [1] 、索尼攻击事件等破坏引导记录导致系统不能自举的同样效果。鉴于本次事件所发生的特殊的时点,因此安天分析小组认为,目前并不能得出本事件是完全以经济勒索为目的恶意代码攻击事件的结论,而还需要更多进一步的分析。
安天在2016年基础威胁年报 [2] 中,对比了“蠕虫时代的传播入口到勒索软件的传播入口”,对其复合型的传播趋势做了预判,而“必加”(Petya)新版本复合手段传播感染进一步看到,通过邮件进入到内部网络,在网内传播的方式,可能会带来比类似“魔窟”(WannaCry) 蠕虫这种单纯的扫描植入方式更严重的后果。但同时更值得警醒的是,“必加”(Petya)所使用的并非是0DAY漏洞,甚至也非1DAY漏洞,而是陈旧的漏洞,其他传播方式也是利用类似弱口令/空口令这种基本的配置问题。这些问题再次说明,系统策略加固和及时的补丁升级,是安全的必修手段。
通过类似邮件或浏览器等入口的单点注入、之后横向移动扫荡内部网络,这本身是传统定向攻击到APT攻击的基本手段,但由于APT攻击的隐蔽性,使多年类似的攻击存在,并没有有效驱动内网安全治理的改善。而勒索病毒攻击,是同样具有严重后果,同时却一种后果高度可见的安全风险。从“魔窟”(WannaCry) 到“必加”(Petya),其将许多信息系统的防护无效的情况全面暴露出来。
面对这种局面,与其夸大病毒本身的能力和威胁,不如认真思考安全基础工作的是否扎实。其应对不能更多立足于灾难响应、数据恢复甚至是破解解密,而必须立足于尽可能的防患于未然,最大程度将易被攻陷的节点减到最小。
2017年2月17日,习近平总书记在国家安全工作座谈会上指出“加强网络安全预警监测,确保大数据安全,实现全天候全方位感知和有效防护”,可以说,“有效”对关键信息技术设施保障的基本要求。如果说态势感知能力是信息安全的顶层价值,那么有效防护就是其能力的基本盘。没有有效防护这个基本盘,威胁情报等各种能力手段,都将无法对接落地、形成价值。
2015年起,安天根据勒索软件已经成为一种地下经济的商业模式,必然会推动其大规模蔓延爆发的判断,在终端防御智甲产品中增加了“加密行为识别”、“诱饵文件”等策略,使用2016年10月的智甲版本,在不升级病毒库和模块的情况下,就有效拦截“魔窟”(WannaCry) 等新兴勒索软件的加密行为。从安天的产品体系来看,达成有效防护、实现价值输出,则是我们一贯的追求。
附录一:参考资料
[1] 乌克兰电力系统遭受攻击事件综合分析报告
http://www.antiy.com/response/A_Comprehensive_Analysis_Report_on_Ukraine_Power_Grid_Outage/A_Comprehensive_Analysis_Report_on_Ukraine_Power_Grid_Outage.html
[2] 安天:2016年网络安全威胁的回顾与展望
http://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html
附录二:关于安天
安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。
全球超过一百家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品。
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续五届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。
附录三:综合(疑似)样本集合列表
在综合现有多方威胁情报的情况下仍然无法将相关样本建立起完整的联系,部分样本存在传播僵尸网络等其他行为对分析造成了一定干扰。在缺乏现场取证支持的情况下无法有效过滤干扰项,因此将现阶段汇总的全部疑似相关信息陈列如下:
| 文件 | 格式 | MD5/SHA256 |
| 4F3B.tm_ | EXE | 7e37ab34ecdcc3e77e24522ddfd4852d |
| DLL | 71b6a493388e7d0b40c83ce903bc6b04 | |
| dllhost.dat | DLL | aeee996fd3484f28e5cd85fe26b6bdcd |
| svchost.exe | EXE | d2ec63b63e88ece47fbaab1ca22da1ef |
| Order-20062017.doc | RTF | 415fe69bf32634ca98fa07633f4118e1 |
| myguy.xls | XLSX | 0487382a4daf8eb9660f1c67e30f8b25 |
疑似相关命令控制(C2)服务器IP
l 185.165.29.78 l 84.200.16.242 l 111.90.139.247 l 95.141.115.108
相同C2服务器上传播的其他一些木马
l 185.165.29.78 n a809a63bc5e31670ff117d838522dec433f74bee n bec678164cedea578a7aff4589018fa41551c27f n d5bf3f100e7dbcc434d7c58ebf64052329a60fc2 n aba7aa41057c8a6b184ba5776c20f7e8fc97c657 n 0ff07caedad54c9b65e5873ac2d81b3126754aac n 51eafbb626103765d3aedfd098b94d0e77de1196 n 078de2dc59ce59f503c63bd61f1ef8353dc7cf5f l 84.200.16.242 n 7ca37b86f4acc702f108449c391dd2485b5ca18c n 2bc182f04b935c7e358ed9c9e6df09ae6af47168 n 1b83c00143a1bb2bf16b46c01f36d53fb66f82b5 n 82920a2ad0138a2a8efc744ae5849c6dde6b435d