来自'Petya'赎金软件攻击的主要课程
安全研究人员正在努力达成共识,即对最新的全球攻击负责的赎金软件是一个新版本的Petya,甚至是真正的赎金软件,但到目前为止他们学到了什么可以帮助指导安全战略。
那些支持保留Petya名称的人指出它基本上表现得完全相同,因为它旨在:
加密磁盘上的文件而不更改文件扩展名。在感染时强制重启机器。加密受影响机器上的主引导记录。将假CHKDSK屏幕作为加密过程的封面。完成活动后,呈现近乎相同的赎金。根据恶意软件的最新更新,卡巴斯基实验室表示,代码分析揭示了在技术上是不可能解密受害者的磁盘。
为了解密受害者的磁盘,威胁演员需要安装ID,并且在以前版本的“类似”赎金瓶中,如Petya,Mischa或Goldeneye,该安装ID包含了备份公司的关键恢复所需的信息,所说的研究人员表示。
但是,他们发现了新的恶意软件 - 它们具有被称为expet(或不经合组织,非正式) - 没有任何此类恢复机制,这意味着威胁演员无法提取解密所需的必要信息。
总之,受害者也无法恢复数据,即使他们支付了赎金,也就是说,它再次调用了恶意软件背后的动机。
这一发现不仅进一步赞同安全社区的早期建议,而且还提出了关于恶意软件的真实目的的进一步提出问题,并且可能会燃料进一步推测,这可能纯粹是造成中断或造成中断的手段掩盖一些其他恶意活动。
该观点得到了英国国家网络安全中心(NCSC)的最新声明,同时管理对英国事件的影响,NCSC的专家们发现有证据表明,初步判断,意图是收集赎金的初步判断。
“我们正在与NCA [国家犯罪机构]和行业调查,是否意图是扰乱而不是任何财务收益,”NCSC表示。
无论真正的目的如何,对恶意软件的分析已经确认了从卫纳克里学到的一些经验教训,并添加了其他组织应该考虑的其他人,以改善他们的网络防御能力,以防止未来的未来威胁。
到目前为止出现的主要课程是:
1.拥有最新版本的软件和确保它们的修补迄今为止将减少组织对网络攻击的脆弱性。
2.恶意软件越来越多地利用合法工具来进行恶意活动未被发现。
在Expet的情况下,使用了两个常见的Windows管理工具 - 使用Windows管理仪表命令行(WMIC)和PSExec - 被使用。
根据风险管理公司Kroll,虽然使用这些和其他“非恶意”工具的入侵者在网络内悄悄地移动并不是新的,但它们在这种广泛和自动攻击中的使用是新颖的。
这知识强调了实现现代威胁检测和响应系统的价值,并使用培训的工作人员或可信外部合作伙伴来识别和包含这种类型的攻击,Kroll在其对客户的最新建议中表示。
像Wannacry一样,安全专家称,Expet证明横向运动是一个严重的安全问题。然而,根据安全公司Cyxtera技术的说法,采用软件定义的周边架构以限制横向运动的限制横向运动的环境可能会看到潮流的影响。
3.恶意软件正在劫持软件更新机制以扩展恶意软件,并且可能会在将来越来越多地使用这种技术。
微软已确认,在某些情况下,Expet劫持了在乌克兰广泛使用的M.Doc税务会计软件的自动更新设施,这就是该国特别困难的原因。
鉴于这一事实,组织应该认识到第三方提出的非常真实的风险,例如软件供应商和服务提供商。克罗尔最少建议组织审查所有供应商风险管理流程和调控,以减轻潜在的漏洞。
2016年10月,强制性安全实验室警告了Rogue软件更新,通过其Freeman报告中的自动软件更新机制提供,该软件更新机制记录了Rogue软件更新的危险,以合法代码分析工具。
ForcePoint建议组织兽医提供软件更新的第三方,并希望他们寻求理解哪些不受支持的或所谓的废弃软件(加法软件)可能仍然可以运行和接受更新。
然而,已经收集了多个PDF和Word附件样本,这突出了使用多个传播技术的恶意软件的可能性以及组织的重要性,确保它们具有检测恶意电子邮件附件的系统。
4.对于关键系统和数据的适当且经过良好测试的备份和恢复计划将使不论其特定特征如何,缓解赎金软件和其他恶意软件攻击的影响。
5.恶意软件正在滥用安全工具来发现用户名和密码,这意味着组织应确保他们有适当的系统和程序,以防止凭证滥用。
Expet使用公开的avableablemimikatztool来获取纯广告文本中所有Windows用户的凭据,包括本地管理员和域用户以跨本地网络传播。