Petya勒索蠕虫完全分析报告 - 360追日团队

in 转载 with 2 comments

本文作者:360追日团队,转载自:http://blogs.360.cn/blog/petya/部分无关内容已被删减


第一章 前言

2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模Petya勒索病毒袭击,该病毒远程锁定设备,然后索要赎金。其中,乌克兰地区受灾最为严重,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响,包括首都基辅的鲍里斯波尔国际机场(Boryspil International Airport)、乌克兰国家储蓄银行(Oschadbank)、船舶公司(AP Moller-Maersk)、俄罗斯石油公司(Rosneft)和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。

此次黑客使用的是Petya勒索病毒的变种,,使用的传播攻击形式和WannaCry类似,但该病毒除了使用了永恒之蓝(MS17-010)漏洞,还罕见的使用了黑客的横向渗透攻击技术。在勒索技术方面与WannaCry等勒索软件不同之处在于,Petya木马主要通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动,故而其影响更加严重。如果想要恢复,需要支付价值相当于300美元的比特币。

由于这次攻击有很强的定向性,所以目前欧洲被感染的受害者较多。目前国内感染量较少,但是考虑到其横向攻击传播能力,未来存在较高风险在国内传播。

第二章 Petya老样本简介

2016年4月,敲诈勒索类木马Petya被安全厂商曝光,被称作是第一个将敲诈和修改MBR合二为一的恶意木马。木马Petya的主要特点是会先修改系统MBR引导扇区,强制重启后执行MBR引导扇区中的恶意代码,加密受害者硬盘数据后显示敲诈信息,并通过Tor匿名网络索取比特币。

Petya与其他流行的勒索软件的不同点在于,Petya不是逐个加密文件,而是通过攻击磁盘上的低级结构来拒绝用户访问完整的系统。这个敲诈勒索木马的作者不仅创建了自己的引导加载程序,还创建了一个32个扇区长的小内核。

Petya的木马释放器会将恶意代码写入磁盘的开头。被感染的系统的主引导记录(MBR)将被加载一个小型恶意内核的自定义引导加载程序覆盖,然后该内核会进一步加密。 Petya的敲诈信息显示其加密了整个磁盘,但这只是木马作者放出的烟雾弹,事实上,Petya只是加密了主文件表(MFT),使文件系统不可读,来拒绝用户访问完整的系统。

1500202296.png

图 1 Petya的敲诈信息

第三章 Petya新样本详细介绍

此次Petya病毒的新样本类型为DLL,有一个导出序号为1的函数。当这个函数被调用时,首先尝试提升当前进程的权限并设置标记,查找是否有指定的安全软件,后面会根据是否存在指定的安全软件跳过相应的流程。绕过安全软件的行为监控。

接下来修改磁盘的MBR,并将生成的Key,IV,比特币支付地址以及用户序列号写入磁盘的固定扇区。然后创建计划任务于1小时后重启。遍历局域网可以连通的ip列表,用于后续的局域网攻击。释放并执行抓取密码的进程,释放psexec进程用于后续执行远程命令。对系统的网络资源列表进行过滤,筛选本地保存的凭据,使用保存的凭据连接,成功后执行远程命令,进行局域网感染。

下一步生成随机ip,连接445端口进行永恒之蓝漏洞攻击。然后遍历磁盘,对指定扩展名的文件进行加密。执行完所有流程后,清除日志并强行重启。

2.jpg

图 2 总体流程图

第四章 Petya勒索蠕虫感染传播趋势分析

自6月27日在欧洲爆发的起,Petya勒索病毒在短时间内袭击了多国。

根据360互联网安全中心的监测,对每一个小时的远程攻击进程的主防拦截进行了统计。从6月28号0点至6月28日晚上7点整,平均每小时攻击峰值在5000次以内。上午10点攻击拦截达到最高峰,后缓慢波动,在14点达到一个小高峰,然后攻击频率开始缓慢下降。由此可见,Petya的攻击趋势并不呈现几何级增长的趋势,而是缓慢下降的,并不具备进一步泛滥的趋势。

3.png3.png

图 3 攻击频率

除乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭受大规模的Petya攻击外,我国也遭受了同样的攻击。针对我国的攻击,主要集中在北京、上海、广州、深圳、香港等大城市,根据360互联网安全中心的监测,在全中国八十多个城市拦截到了攻击。

4.png

图 4 Petya国内感染情况

第五章 Petya横向移动及传播技术分析

一、提升权限,设置执行标记

首先,Petya病毒会尝试提升当前进程的3种权限:SeShutdownPrivilege、SeDebugPrivilege和SeTcbPrivilege,根据是否成功设置标记,后面执行相应的流程时会判断此标记,以防没有权限时系统报错。

5.png

然后,通过CreateToolhelp32Snapshot枚举系统进程,判断是否有指定的安全软件,并设置标记。

6.png

枚举过程中,通过将进程名称进行异或计算得出一个值,将该值与预设的值进行比较,此处病毒是在寻找特定名称的进程,通过对算法进行逆向还原,我们找出预设值对应的进程名称:

进程名称杀毒软件
0x2E214B44:   avp.exe卡巴斯基
0x651B3005:   NS.exe诺顿
0x6403527e: ccSvcHst.exe诺顿

当存在NS.exe(诺顿)或ccSvcHst.exe(诺顿)进程时,不执行漏洞感染流程。

当存在avp.exe(卡巴斯基)进程时,不执行MBR感染流程。

二、MBR修改

获取分区类型,当为MBR格式时执行修改MBR流程。

7.png

随后,Petya将修改机器的MBR,具体流程如下:

8.png

123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz,生成勒索界面显示的序列号

9.png

10.png

三、设置重启计划任务

创建计划任务,设定当前时间1小时后重启计算机。

11.png

12.png

重启之后将执行病毒的MBR,加密扇区。

四、遍历IP

首先,Petya检查被感染的机器是否为Sever或者域控服务器

13.png

当检测到主机为服务器或者域控时,会枚举该主机DHCP已分配的IP信息,保存在列表中用于网络攻击。

14.png

五、释放并运行资源

进程首先从资源中解压缩ID为1的资源,在系统的%TEMP%目录下生成一个临时文件。

15.png

随后程序启动线程尝试连接特定的命名管道并读取数据,随后将该临时文件作为进程启动,并且等待1分钟。

16.png

对启动的临时文件进行分析,其代码功能与mimikatz,一款Windows下抓取密码的工具类似,Petya通过命名管道从该工具进程中获取本机账户密码。

17.png

之后程序加载资源序号3并且解压缩,首先获取系统文件夹目录,若失败则获取%APPDATA%目录,并将解压后的资源命名为dllhost.dat写入到该目录下。

18.png

dllhost.dat的本质为PsExec.exe,是一款属于sysinternals套件的远程命令执行工具,带有合法的签名。

六、枚举网络资源

接下来,病毒遍历所有连接过的网络资源,从中筛选类型为TERMSRV的凭据保存。

19.png

20.png

接下来尝试使用保存的凭据连接网络资源

21.png

连接成功则执行下列命令:

22.png 23.png

该命令将在目标主机上执行rundll32。exe调用自身dll的第1个导出函数,完成局域网感染功能。

七、使用永恒之蓝漏洞攻击

接下来,启动线程进行永恒之蓝漏洞攻击。

24.png 25.png

病毒使用异或的方式加密了部分数据包,在内存中重构后发送数据包,这样就避免了杀毒软件的静态查杀。

26.png

八、文件加密

Petya采用RSA2048 + AES128的方式对文件进行加密,程序中硬编码RSA公钥文件,每一个盘符会生成一个AES128的会话密钥,该盘符所有文件均对该AES Key进行加密。

九、清除日志并重启

执行完加密文件和网络传播流程后,病毒将清除Windows系统日志并强制重启。重启后将执行病毒写入的MBR并加密磁盘。加密完成后显示勒索信息并等待用户输入key。

27.png 28.jpg

第六章 Petya勒索加密技术分析

一、篡改MBR

当系统重启后,执行病毒的MBR,伪装成CHKDSK进行加密磁盘,加密完成后弹出敲诈信息对用户进行敲诈。

29.jpg

图 5 Petya敲诈信息

下面,我们来对修改后的MBR进行分析:

30.png

31.png

32.png

33.png

二、加密文件

勒索木马Petya采用RSA2048 + AES128的方式对文件进行加密,程序中硬编码RSA公钥文件,针对每一个盘符都会生成一个AES128的会话密钥,该盘符所有文件均用该AES Key进行加密。

根据后缀名对相关文件进行分类,涉及的文件格式如下表:

34.jpg

Petya的加密流程如下图:

35.jpg

图 6 加密流程

  1. 启动加密文件线程:

36.png

37.png 38.png

  1. 递归枚举目录并加密

39.png

  1. 写入Readme .txt文件

Readme .txt文件中包含比特币支付地址。

40.png

第七章 Petya勒索杀毒软件攻防分析

在提权阶段,Petya会通过CreateToolhelp32Snapshot枚举系统进程,判断是否有指定的安全软件,并设置标记。枚举过程中,通过将进程名称进行异或计算得出一个值,并将该值与预设的值进行比较,可见此处Petya是在寻找特定名称的进程。

通过分析,我们确认Petya主要针对杀毒软件诺顿和卡巴斯基进行了反检测处理。

第八章 缓解措施建议

针对Petya勒索软件,360追日团队提醒广大用户警惕防范,我们建议用户采取以下措施以保障系统安全:

  1. 保证系统的补丁已升级到最新,修复永恒之蓝(ms17-010)漏洞。

  2. 临时关闭系统的WMI服务和删除admin$共享,阻断蠕虫的横向传播方式。具体操作为,右键exe”以管理员身份运行”,输入如下命令:

1net stop winmgmt
2
3net share admin$ /delete
  1. 如若不幸中招,也可以采取一些措施来减小损失。

由于在感染Petya的过程中,病毒会先重启电脑加载恶意的磁盘主引导记录(MBR)来加密文件,这中间会启用一个伪造的加载界面。中招者如果能感知到重启异常,在引导界面启动系统前关机或拔掉电源,随后可以通过设置U盘或光盘第一顺序启动PE系统,使用PE系统修复MBR或者直接转移硬盘里的数据,可以在一定程度上避免文件的损失。

第九章 总结

Petya勒索病毒早已被安全厂商披露,其早期版本只对MBR和磁盘分配表进行加密,并提示虚假的勒索信息,声称其已对受害者系统进行了全盘加密,进而索要赎金。而此次Petya新变种卷土重来,肆虐欧洲大陆在于其利用了已知的Office漏洞、永恒之蓝SMB漏洞、局域网感染等网络自我复制技术,使得病毒可以在短时间内呈暴发态势。另一方面,Petya木马主要通过加密硬盘驱动器主文件表(MFT),使主引导记录(MBR)不可操作,通过占用物理磁盘上的文件名、大小和位置的信息来限制对完整系统的访问,从而让电脑无法启动,相较普通勒索软件对系统更具破坏性。

由于这次攻击有很强的定向性,所以目前欧洲被感染的受害者较多,国内感染量较少。这得益于自5月份WannaCry勒索病毒爆发后,中国用户已经安装了相关漏洞的补丁,故而并没有为Petya勒索病毒的泛滥传播提供可乘之机。但是考虑到其横向攻击传播能力,未来存在较高风险在国内传播。360追日团队在此提醒广大用户及时更新系统补丁,安装360安全产品,增强终端防护能力。目前360安全产品可全面查杀Petya勒索病毒。

由于在感染Petya的过程中,病毒会先重启电脑加载恶意的磁盘主引导记录(MBR)来加密文件,这中间会启用一个伪造的加载界面。中招者如果能感知到重启异常,在引导界面启动系统前关机或拔掉电源,随后可以通过设置U盘或光盘第一顺序启动PE系统,使用PE系统修复MBR或者直接转移硬盘里的数据,可以在一定程度上避免文件的损失。


360追日团队(Helios Team)

分享您的想法
  1. [该内容由于存在垃圾信息已被关闭]

    Reply
  2. free

    666

    Reply