突发!GhostPetya骷髅头勒索病毒袭击半导体行业
  

SANGFOR_智安全 6290

{{ttag.title}}
本帖最后由 某公司_智安全 于 2018-12-10 14:17 编辑

突发!GhostPetya骷髅头勒索病毒袭击半导体行业
图片96.jpg
近日,国内半导体行业爆发勒索病毒,造成业务大面积瘫痪,某公司安全团队率先接到情报并进行处置,发现其攻击手段与早期Petya勒索病毒有相似之处,但又有较大不同,其攻击方式包括控制域控服务器、钓鱼邮件、永恒之蓝漏洞攻击和暴力破解,攻击力极大,可在短时间内造成内网大量主机瘫痪,中招主机被要求支付0.1个比特币赎金。
某公司已将其命名为GhostPetya骷髅头勒索病毒,并且制定了完善的防御措施和解决方案。
病毒名称GhostPetya
病毒性质勒索病毒
影响范围:已感染多家半导体行业企业,很可能大规模爆发
危害等级:高危
传播方式控制域控服务器、钓鱼邮件、永恒之蓝漏洞攻击和暴力破解
图片97.png
中招主机弹出骷髅头
图片98.png
中招主机勒索信息
病毒分析
1.以读写的模式,打开主机\\.\PhysicalDrive0\\.\PhysicalDrive1\\.\PhysicalDrive2\\.\PhysicalDrive3\\.\I等磁盘:
图片99.jpg
2.然后MBR勒索的数据写入到这些打开的磁盘空间中:
图片100.jpg
写入的相关数据,如下所示:
图片101.png
显示的勒索信息,如下所示:
图片102.jpg
3.然后执行重启系统命令:
图片103.jpg
4.从感染的主机中提取出相应的MBR数据,如下所示:
图片104.jpg
5.感染后的主机,会先调用CHKDSK进行磁盘检测操作:
图片105.png
调用磁盘检测信息,如下所示:
图片157.jpg
完成之后会弹出勒索图片闪屏信息。按任意键进入系统,显示下图所示的勒索信息,要求受害客户支付0.1BTC进行解锁操作,BTC地址:
1Ex6qfkopZ5wgbiCrxpq4cALF56yr8gLhX
图片106.png
6.对感染后主机的MBR进行动态调试,如下所示:
图片107.jpg
7.经过调试分析,此感染后的MBR与之前Petya勒索病毒MBR代码非常相似,调用int 13中断,将扇区1-32从磁盘加载到内存0x8000开始的地址,然后转到0x8000执行指令,如下所示:
图片108.jpg
8.循环读取$等字符串信息,用于显示勒索信息图片,如下所示:
图片109.jpg
9.显示勒索图片信息,如下所示:
图片110.jpg
设置屏幕的显示模式:
图片111.jpg
然后进行闪屏操作:
图片112.jpg
10.检测是否有键盘按键信息,如下所示:
图片113.jpg
11.如果有按键信息,则读取相应的勒索信息,弹出信息勒索信息显示界面:
图片114.jpg
相应的勒索信息数据,如下所示:
图片115.jpg
12.循环检测用户输入的key
图片116.jpg
解决方案
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2切断传播途径关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。某公司下一代防火墙用户,可开启IPS和僵尸网络功能,进行封堵。某公司EDR用户使用微隔离进行封锁。
l 某公司下一代防火墙配置步骤:
    ①确认当前设备版本和规则库版本:
规则库版本,确认“IPS漏洞特征识别库”和“热门威胁”库版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
图片117.png
设备版本:建议升级至AF8.0.5及以上版本,以获取更快速的更新能力及更好的防护效果。
②开启安全功能:
针对此次的GhostPetya骷髅头勒索病毒防护,某公司 AF建议针对【内网主机】,可以开启 “漏洞攻击防护”“僵尸网络”两个功能。针对【对外发布的服务器】,可以开启“漏洞攻击防护”和“僵尸网络”两个功能,配置如下:
■ 新增针对“内网主机”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“漏洞攻击防护”和“僵尸网络”两个功能,动作全部选择“拒绝”。配置如下:
图片119.png
图片119.png
图片120.png
■ 新增针对“对外发布的服务器”防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”和“僵尸网络”两个功能,动作全部选择“拒绝”。配置如下:
图片121.png
图片122.png
图片123.png
l 某公司EDR微隔离封锁配置方法:
①对GhostPetya使用到的传播端口运行封堵。TCP135137138139445)端口,对共享服务的端口进行封堵。
图片124.png
②对需要访问共享服务的终端及服务器进行放通
图片125.png
③配置完成,如下所示:
图片126.png
3、防止暴力破解某公司防火墙有防爆破功能,防火墙开启此功能并启用110800511108002711080016规则,可进行防御。
具体配置步骤参照第2步,防暴力破解功能在“业务防护策略”的IPS功能默认模板里已预置,无需再单独开启
4、查找攻击源手工抓包分析或借助某公司安全感知平台。需要将安全感知平台IOC库更新到最新。
l SIP更新IOC库步骤:
①SIP能连接互联网情况: IOC需要更新到127,平台将会自动升级,也可以手动触发升级:
图片127.png
更新完成后如下,更新到127号的IOC库。
图片128.png
②SIP不能连接互联网情况:手动导入IOC库到到127
图片129.png
图片130.png
图片131.png
导入完成后,如下,更新到127号的IOC库。
图片132.png
5、查杀病毒:推荐使用某公司EDR进行查杀。
l 某公司EDR查杀步骤:
①更新病毒库:
EDR管理平台能连接互联网情况:平台会10分钟连接升级服务器检测一次是否有库更新。
图片133.png
图片134.png
EDR管理平台不能联网情况:离线更新病毒库到127
图片135.png
病毒库需要解压,得到pkg文档。
图片136.png
导入完成后,点击确认
图片137.png
②下发扫描策略查杀病毒。
使用EDR查杀需要先恢复业务(恢复方法见后面章节),进入系统:
图片138.png
选择需要查杀的终端,建议选择所有的终端;
按需要选择扫描模式,建议均衡即可;
对查杀出来的病毒进行隔离、清除处置。
图片139.png
6、修补漏洞打上漏洞相关补丁,漏洞包括永恒之蓝漏洞等。
7更改账户密码,设置强密码,避免使用统一的密码因为统一的密码会导致一台被攻破,多台遭殃。
不幸中招的用户,可以尝试以下方式进行业务恢复:
1、进入PE模式和制作启动U
工具:
U盘启动软件
U(制作启动盘时候格式化)
测试PCWindows
图片140.png
制作好后U盘插入PC,开机进入PE模式有两种方法:
(1) 开机后按F12,进入启动项选择U盘启动(不同的主机按键不一样,可自行网上查询)
进入BIOS系统中 (测试主机为FN+F12进入,不同主机快捷键不同,建议根据主机情况进行网上查询快捷键)选择U盘启动:
图片141.jpg
然后进入如下图界面,由于测试的PCwindows7系统,所以选择第[02]选项(根据中毒的PC情况来选项)
图片142.png
图片143.png
2、恢复数据
步骤1:接入运行桌面上的 DiskGenius软件,找到中毒PC的硬盘(一般为500G1TB左右)
图片144.jpg
步骤2:点击鼠标右键运行搜索已丢失分区(重建分区表):
图片145.jpg
步骤3:如果在搜索期间,弹出搜索到分区框记得点击保留。
图片147.jpg
步骤4:最后可以看到数据恢复了,接着需要点击保存
图片148.jpg
图片149.jpg
3、重建MBR
正常情况下数据恢复后重启系统的话,mbr还是不能正确引导系统启动,所以这个时候需要紧接着修复mbr,点击鼠标右键运行重建主导记录MBR”,这个时候会新建MBR
图片150.jpg
图片151.jpg
图片152.jpg
这时候重新启动系统就可以恢复了。
4、其它事项(注意)
恢复数据流程
步骤2:运行在搜索已丢失分区(重建分区表)”,当软件一直正在搜索情况下不要停止搜索后再次(重建分区表),否则第2次搜索完后丢失的数据可能会丢失部分。

步骤4:注意个别PC会存在系统C盘恢复不回来,这个时候可以直接插入备份U盘拷贝其它盘的数据出来后重装系统)

重建MBR流程
方法1:DiskGenius上新建,上文已提到;
方法2:进入PE模式后,点击左下角的引导修复--Bootice(引导扇区恢复工具)—主引导记录(M)-=选择Windows NT5.X/6.X MBR--点击安装/配置:
图片153.jpg


图片154.jpg

图片155.jpg

注意: 存在个别情况就是数据恢复回来,但是C盘的恢复不了或者新建MBR后正常开机不了,这个时候可以在PE模式下把其它盘的重要数据拷贝出来重装系统。
咨询与服务
您可以通过以下方式联系我们,获取关于
GhostPetya的免费咨询及支持服务:
1拨打电话400-630-64306号线(已开通勒索软件专线)
2关注某公司技术服务微信公众号,选择智能服务菜单,进行咨询
3PC端访问某公司区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询
图片156.jpg

ztong 发表于 2018-12-11 11:37
  
学习了学习了
新手632486 发表于 2018-12-11 18:58
  
感谢楼主的分享。
新手565981 发表于 2018-12-11 19:16
  
感谢楼主分享
好心情能长寿 发表于 2018-12-11 21:05
  
很强大。
法律框架 发表于 2018-12-12 09:46
  
很好很强大
13603512705 发表于 2018-12-12 09:48
  
感谢楼主的分享。
Zarks 发表于 2018-12-12 10:45
  
谢谢 分享 学习了!!
波波酱 发表于 2018-12-12 16:25
  
哇。感谢分享
htppy 发表于 2018-12-13 07:20
  
感谢分享
发表新帖
热门标签
全部标签>
GIF动图学习
每日一问
信服课堂视频
技术笔记
项目案例
产品连连看
技术咨询
在线直播
新版本体验
功能体验
技术圆桌
专家分享
答题自测
原创分享
SANGFOR资讯
安装部署配置
安全攻防
畅聊IT
VPN 对接
排障笔记本
问题分析处理
每日一记
SDP百科
专家问答
上网策略
日志审计
标准化排查
设备维护
MVP
网络基础知识
升级
测试报告
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
功能咨询
终端接入
授权
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告

本版版主

204
123
130

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人