據(jù)外媒 2 日?qǐng)?bào)道，美國(guó)國(guó)土安全部（DHS）計(jì)算機(jī)應(yīng)急響應(yīng)小組（US-CERT）發(fā)布 Petya 勒索軟件最新變體預(yù)警（TA17-181A）, 提醒組織機(jī)構(gòu)盡快對(duì)軟件進(jìn)行升級(jí)，避免使用不支持的應(yīng)用與操作系統(tǒng)。

美國(guó)國(guó)土安全部下屬網(wǎng)絡(luò)安全與通信整合中心（NCCIC）代碼分析團(tuán)隊(duì)輸出一份《惡意軟件初步調(diào)查報(bào)告》（MIFR），對(duì)惡意軟件進(jìn)行了深度技術(shù)分析。在公私有部門合作伙伴的協(xié)助下，NCCIC 還以逗號(hào)分隔值形式提供用于信息分享的輸入/出控制系統(tǒng)（IOC）”。

此份預(yù)警報(bào)告的分析范圍僅限曝光于 2017 年 6 月 27 日的 Petya 最新變體，此外還涉及初始感染與傳播的多種方法，包括如何在 SMB 中進(jìn)行漏洞利用等。漏洞存在于 SMBv1 服務(wù)器對(duì)某些請(qǐng)求的處理過程，即遠(yuǎn)程攻擊者可以通過向SMBv1服務(wù)器發(fā)送特制消息實(shí)現(xiàn)代碼執(zhí)行。

US-CERT 專家在分析 Petya 勒索軟件最新樣本后發(fā)現(xiàn)，該變體使用動(dòng)態(tài)生成的 128 位秘鑰加密受害者文件并為受害者創(chuàng)建唯一 ID。專家在加密秘鑰生成與受害者 ID 之間尚未找到任何聯(lián)系。

“盡管如此，仍無法證明加密秘鑰與受害者 ID 之間存在任何關(guān)系，這意味著即便支付贖金也可能無法解密文件”。

“此 Petya 變體通過 MS17-010 SMB 漏洞以及竊取用戶 Windows 登錄憑據(jù)的方式傳播。值得注意的是，Petya 變體可用于安裝獲取用戶登錄憑據(jù)的 Mimikatz 工具。竊取的登錄憑據(jù)可用于訪問網(wǎng)絡(luò)上的其他系統(tǒng)”。

US-CERT 分析的樣本還通過檢查被入侵系統(tǒng)的 IP 物理地址映像表嘗試識(shí)別網(wǎng)絡(luò)上的其他主機(jī)。Petya 變體在 C 盤上寫入含有比特幣錢包地址與 RSA 秘鑰的文本文件。惡意代碼對(duì)主引導(dǎo)記錄（MBR）進(jìn)行修改，啟用主文件表（MFT）與初始 MBR 的加密功能并重啟系統(tǒng)、替換 MBR。

“從采用的加密方法來看，即便攻擊者收到受害者ID也不大可能恢復(fù)文件。”

US-CERT建議組織機(jī)構(gòu)遵循 SMB 相關(guān)最佳實(shí)踐，例如：

1、禁用 SMBv1。

2、使用 UDP 端口 137-138 與 TCP 端口 139 上的所有相關(guān)協(xié)議阻止 TCP 端口 445，進(jìn)而阻攔所有邊界設(shè)備上的所有 SMB 版本。

“ US-CERT 提醒用戶與網(wǎng)絡(luò)管理員禁用 SMB 或阻止 SMB 可能因阻礙共享文件、數(shù)據(jù)或設(shè)備訪問產(chǎn)生一系列問題，應(yīng)將緩解措施具備的優(yōu)勢(shì)與潛在問題同時(shí)納入考慮范疇”。

以下是預(yù)警報(bào)告中提供的防范建議完整列表：

1、采用微軟于 2015 年 3 月 14 日發(fā)布的補(bǔ)丁修復(fù) MS17-010 SMB 漏洞。

2、啟用惡意軟件過濾器防止網(wǎng)絡(luò)釣魚電子郵件抵達(dá)終端用戶，使用發(fā)送方策略框架（SPF）、域消息身份認(rèn)證報(bào)告與一致性（DMARC）、DomainKey 郵件識(shí)別（DKIM）等技術(shù)防止電子郵件欺騙。

3、通過掃描所有傳入/出電子郵件檢測(cè)威脅，防止可執(zhí)行文件抵達(dá)終端用戶。

4、確保殺毒軟件與防病毒解決方案設(shè)置為自動(dòng)進(jìn)行常規(guī)掃描。

5、管理特權(quán)賬戶的使用。不得為用戶分配管理員權(quán)限，除非有絕對(duì)需要。具有管理員賬戶需求的用戶僅能在必要時(shí)使用。

6、配置具有最少權(quán)限的訪問控制，包括文件、目錄、網(wǎng)絡(luò)共享權(quán)限。如果用戶僅需讀取具體文件，就不應(yīng)具備寫入這些文件、目錄或共享文件的權(quán)限。

7、禁用通過電子郵件傳輸?shù)奈④?Office 宏腳本。考慮使用 Office Viewer 軟件代替完整的 Office 套件應(yīng)用程序打開通過電子郵件傳輸?shù)奈④?Office 文件。

8、制定、研究并實(shí)施員工培訓(xùn)計(jì)劃以識(shí)別欺詐、惡意鏈接與社工企圖。

9、每年至少對(duì)網(wǎng)絡(luò)運(yùn)行一次定期滲透測(cè)試。在理想情況下，盡可能進(jìn)行多次測(cè)試。

10、利用基于主機(jī)的防火墻并阻止工作站間通信。