来自'Petya'赎金软件攻击的主要课程
曾经被认为死亡的移动操作系统恢复到印度智能手机的生活
亚马逊的云业务继续向上3月
谷歌推出云服务以了解人类语言
NHS失去了数字导演Beverley Bryant到私营部门
爱荷华州在新风电场投资1亿美元
网站让黑客轻松访问,审计揭示
TSG 1899 Hoffenheim随着SAP Analytics获得了“头部更快”
微软正在销售Hololens的企业版,但这不是你的想法
四个美国公司统治世界的云基础设施
Zend Php框架升级升级侧重于性能和中间件
中国黑客责备美国银行业代理的多次违规行为
网络犯罪基础设施在巴西在奥运会前升起
英特尔利润幻灯片借鉴最近的裁员
使用tor?Riffle承诺能够更好地保护您的隐私
银行帮助年轻人通过视频博客管理资金
Facebook的404区 - 我们所知道的
KCOM通过紧急呼叫服务失败罚款
机器人自动化背后的人类学徒
我们抓住了Kickasstorrent的域名,网站的所有者被捕
Raspberry PI 3创建者希望Windows 10 Desktop OS支持
Crest说,工业控制系统中的网络安全性
东盟CIO花费更多关于数字转型
在您的下一次智能手机购买中需要考虑的最重要的事情
辐射检测装置对网络攻击开放,研究员发现
Mingis关于Tech:塞拉,Siri和口袋妖怪,我!
密度旨在结束医院,无家可归者庇护所,咖啡店和其他地方的排队
数字商业银行获得监管批准
AI和机器人将“创造政治不稳定”,直到人类找到新的职业
美国将4亿美元的4亿美元进入下一代无线研究
Microsoft向Windows 10否定1B或胸围目标
Eternalrocks作者在媒体关注后扔进毛巾
调查显示,英国商业暴露在电子邮件传播的网络风险中
斯科姆说,批发纤维价格削减以使宽带用户受益
参议员对神奇宝贝GO的数据收集有隐私问题
5课程任何企业都可以从口袋妖怪上学习
ISP组上诉网络中立法院击败
沃尔玛工资与Apple支付:硬件时代决定了所有
IBM的云和数据分析随着整体收入幻灯片而增长
Allianz研究人员与汽车制造商在网络安全上使用
Apple,IBM和一切的数字转换
四个美国公司统治世界云基础设施
ONS数据科学校园与“公共良好”任务开放
缺乏技能防止数字转型,65%的决策者说
安装问题Snag Win10更新KB 3172985 Build 10586.494
在莫斯科进行移动:城市数字化俄罗斯方式
防病毒合并:Avast以13亿美元购买AVG
为什么Salesforce刚刚购买了这个前Facebook的CTO的启动
Satana Ransomware加密用户文件和主引导记录
攻击者启动使用DNSSEC放大的多向量DDOS攻击
您的位置:首页 >科技 > 物联科技 >

来自'Petya'赎金软件攻击的主要课程

2021-07-11 19:44:14 [来源]:

安全研究人员正在努力达成共识,即对最新的全球攻击负责的赎金软件是一个新版本的Petya,甚至是真正的赎金软件,但到目前为止他们学到了什么可以帮助指导安全战略。

那些支持保留Petya名称的人指出它基本上表现得完全相同,因为它旨在:

加密磁盘上的文件而不更改文件扩展名。在感染时强制重启机器。加密受影响机器上的主引导记录。将假CHKDSK屏幕作为加密过程的封面。完成活动后,呈现近乎相同的赎金。

根据恶意软件的最新更新,卡巴斯基实验室表示,代码分析揭示了在技术上是不可能解密受害者的磁盘。

为了解密受害者的磁盘,威胁演员需要安装ID,并且在以前版本的“类似”赎金瓶中,如Petya,Mischa或Goldeneye,该安装ID包含了备份公司的关键恢复所需的信息,所说的研究人员表示。

但是,他们发现了新的恶意软件 - 它们具有被称为expet(或不经合组织,非正式) - 没有任何此类恢复机制,这意味着威胁演员无法提取解密所需的必要信息。

总之,受害者也无法恢复数据,即使他们支付了赎金,也就是说,它再次调用了恶意软件背后的动机。

这一发现不仅进一步赞同安全社区的早期建议,而且还提出了关于恶意软件的真实目的的进一步提出问题,并且可能会燃料进一步推测,这可能纯粹是造成中断或造成中断的手段掩盖一些其他恶意活动。

该观点得到了英国国家网络安全中心(NCSC)的最新声明,同时管理对英国事件的影响,NCSC的专家们发现有证据表明,初步判断,意图是收集赎金的初步判断。

“我们正在与NCA [国家犯罪机构]和行业调查,是否意图是扰乱而不是任何财务收益,”NCSC表示。

无论真正的目的如何,对恶意软件的分析已经确认了从卫纳克里学到的一些经验教训,并添加了其他组织应该考虑的其他人,以改善他们的网络防御能力,以防止未来的未来威胁。

到目前为止出现的主要课程是:

1.拥有最新版本的软件和确保它们的修补迄今为止将减少组织对网络攻击的脆弱性。

2.恶意软件越来越多地利用合法工具来进行恶意活动未被发现。

在Expet的情况下,使用了两个常见的Windows管理工具 - 使用Windows管理仪表命令行(WMIC)和PSExec - 被使用。

根据风险管理公司Kroll,虽然使用这些和其他“非恶意”工具的入侵者在网络内悄悄地移动并不是新的,但它们在这种广泛和自动攻击中的使用是新颖的。

这知识强调了实现现代威胁检测和响应系统的价值,并使用培训的工作人员或可信外部合作伙伴来识别和包含这种类型的攻击,Kroll在其对客户的最新建议中表示。

像Wannacry一样,安全专家称,Expet证明横向运动是一个严重的安全问题。然而,根据安全公司Cyxtera技术的说法,采用软件定义的周边架构以限制横向运动的限制横向运动的环境可能会看到潮流的影响。

3.恶意软件正在劫持软件更新机制以扩展恶意软件,并且可能会在将来越来越多地使用这种技术。

微软已确认,在某些情况下,Expet劫持了在乌克兰广泛使用的M.Doc税务会计软件的自动更新设施,这就是该国特别困难的原因。

鉴于这一事实,组织应该认识到第三方提出的非常真实的风险,例如软件供应商和服务提供商。克罗尔最少建议组织审查所有供应商风险管理流程和调控,以减轻潜在的漏洞。

2016年10月,强制性安全实验室警告了Rogue软件更新,通过其Freeman报告中的自动软件更新机制提供,该软件更新机制记录了Rogue软件更新的危险,以合法代码分析工具。

ForcePoint建议组织兽医提供软件更新的第三方,并希望他们寻求理解哪些不受支持的或所谓的废弃软件(加法软件)可能仍然可以运行和接受更新。

然而,已经收集了多个PDF和Word附件样本,这突出了使用多个传播技术的恶意软件的可能性以及组织的重要性,确保它们具有检测恶意电子邮件附件的系统。

4.对于关键系统和数据的适当且经过良好测试的备份和恢复计划将使不论其特定特征如何,缓解赎金软件和其他恶意软件攻击的影响。

5.恶意软件正在滥用安全工具来发现用户名和密码,这意味着组织应确保他们有适当的系统和程序,以防止凭证滥用。

Expet使用公开的avableablemimikatztool来获取纯广告文本中所有Windows用户的凭据,包括本地管理员和域用户以跨本地网络传播。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。