Petya勒索软件分析报告

  xctflab       2017-08-10 13:39:42 470  1

1. 基本情况

  北京时间2017年6月27日晚21时左右,外媒消息报道乌克兰遭受Petya勒索程序大规模攻击,感染数量达12500多台。之后蔓延到欧洲和其他区域,包括比利时、巴西、德国、俄罗斯和美国等国家。

2. 病毒概况

  Petya此次使用的攻击手法与之前的WannaCry类似,并且结合利用了RTF漏洞(CVE-2017-0199)进行邮件钓鱼攻击,该病毒最初就是利用此漏洞进行定向投递,所以欧洲感染较多。该病毒和WannaCry类似,都是加密文件然后索要赎金,与传统勒索软件不同的是它并不会对每个文件都进行加密,而是通过加密硬盘驱动器主文件表(MFT)等让电脑无法正常启动。

3. 样本分析

3.1  样本概况

  拿到DOC看起来跟正常的word文档无异,启动时会访问84.200.16.242这个IP的80端口,目前该地址已经不能访问,也有安全厂商说Petya跟CVE-2017-0199并无直接关系,这里就只对Petya主要的功能模块做分析。


3.2  perfc.dat主模块分析

  perfc.dat为病毒的主要功能模块,该DLL文件导出了一个名为perfc_1的函数,通过rundll32去调用

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

首先提升自己进程的权限,为后面的操作做准备,另外对几个进程名做了简单加密判断处理,如果得到的值为0x6403527E 或者 0x651B3005,那么后面将不会对MBR进行感染

如果是0x2E214B44的话,后面将不进行局域网攻击。

3.3  MBR感染分析

修改MBR的过程如下,首先获取操作系统所在的物理磁盘号并打开

获取分区的详细信息

读取原始的MBR数据

加密保存原始的MBR数据,处理下自己MBR数据并写入

之后会通过定时任务让系统在10分钟之后重启

重启之后系统便会被改写后的MBR代码接管,恶意的MBR代码又会加密MFT,并阻止系统正常启动

最后提示用户按照要求支付赎金。

3.4  局域网攻击分析

病毒创建线程去获取来获取局域网的一些信息,包括获取DHCP分配的机器信息,和一些局域网中的服务器,这个不受g_ProcessTag全局标志位的影响。此线程只是为了生成可感染内网主机列表,并不进行任何攻击操作。

然后根据是否是64位来释放不同的资源到临时目录,释放的文件为修改的Mimikatz,并且创建管道来与子进程通信。

接着释放ID为3的资源到windows目录,修改名字为dllhost,其本身是PsExec.exe

使用Windows设备管理命令行(WMIC)找到远程共享,将自身复制整个网络,并且远程执行

3.5  445传播分析

满足进程条件的话就会进入SMB攻击部分,此程序使用的PayLoad与WannaCry是一样的,

后面便是发送PayLoad处理socket数据的过程

4. 防范措施

  Petya的传播途径跟WannaCry大同小异,并且Mbr感染模块兼容性比较好,在此提醒大家一定要及时更新操作系统补丁,禁用Windows系统下的管理控件WMI服务,对重要数据及时备份,以防万一。

请先登录
+1 已点过赞
1
分享到:
登录后才能发贴或参与互动哦! 点击登录

全部评论 (0)