详细内容或原文请订阅后点击阅览
Petya,已死但仍在跳舞
关于当前的勒索软件 Petya,有几件有趣的事情值得一提。有一点很清楚,没有“终止开关”。在对可能为其 RTF(Windows 文档漏洞)传递系统传递有效载荷的域进行初步跟踪并将其与有关域名的被动情报进行交叉引用后,我们注意到一小时内的点击频率为 200 万次。我们跟踪的域目前没有提供有效载荷,并且已关闭。
来源:Kryptos Logic _恶意软件关于当前的勒索软件 Petya,有几件有趣的事情值得一提。有一点很清楚,那就是没有“终止开关”。在对可能为其 RTF(Windows 文档漏洞)传递系统传递有效载荷的域名进行初步跟踪并将其与有关域名的被动情报进行交叉引用后,我们注意到一小时内的点击频率为 200 万次。我们跟踪的域名目前没有提供有效载荷,并且已关闭。因此,进一步尝试通过原始载体进行传播将仍然无效。但是,如果有人发布新的投放器,这并不能消除其他攻击载体。
特别有趣的是,一小时内的流量非常大,任何时间间隔内 200 万次流量,更不用说一小时了,对于恶意软件传播来说,任何标准都算不上多。这可能支持 Talos 提供的证据,即该病毒来自乌克兰软件公司 MeDoc,但我们无法确认,也没有看到任何来自 MeDoc 的信息证实这是真的,我们只是声称数据支持这种攻击可以解释这种速度。
Talos与 WannaCry 不同,Petya 不会扫描外部 IP 地址以查找易受攻击的机器。到目前为止,网络被破坏的方法似乎是
但是,一旦 Petya 进入本地网络,就会有几种并发机制使其传播到其他本地机器。首先也是最重要的是 ETERNALBLUE 漏洞。下一个机制是使用 mimikatz 转储凭据,并使用所述凭据在本地 LAN 计算机中使用 PsExec 或 wmic.exe 运行自身。
PsExec
wmic.exe
1 2 3 4 5 6 7 8 9101112
1 2 3 4 5 6 7 8 9101112
1
2
3
4
5
6
7
8
9
10
11
12
如果
!
&
&
// 首先尝试 PsExec
=
0
if
==
1
if
!
||
!
转到
&
&
int
int
// 移至 WMIC
=
0
来自 Petya 的伪代码