记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

绿盟答疑|为什么设置了由外到内全部禁止的策略,依然感染了勒索病毒?

阅读: 18企业网络,部署了各种安全设备,尤其是互联网网关的地方,防火墙设置了安全策略,从外面过来的一概不允许进入。蠕虫勒索究竟是如何进入到企业网络内部的呢?文章目录蠕虫型勒索对全球企业造成破坏蠕虫勒索的初始传播TAC是检测和防御勒索软件的秘密武器NGTP解决方案蠕虫型勒索对全球企业造成破坏距离Petya勒索蠕虫爆发过去整整一个月,对于中招的企业,不啻一场噩梦。航运一哥马士基,分布在全球的港口IT系统,很多主机感染勒索软件,导致航运调度系统无法正常工作,货物和船舶失联,引起了相关制造、物流企业的骚动,甚至一度影响了马士基在证券市场的表现。好在一个月忙忙碌碌,马士基终于从灾难中恢复,并且吸取了教训,升级了他们的安全系统。正所谓亡羊补牢,未为晚也。马士基航运还算幸运,虽然费了很大力气,毕竟得以恢复。 下图
发布时间:2017-08-02 01:05 | 阅读:100586 | 评论:0 | 标签:技术前沿 NotPetya Petya WannaCry 下一代威胁防御解决方案 勒索病毒 威胁防御 数据恢复 绿盟 威

Petya和NotPetya的关键技术性区别

阅读: 1有关Petya和NotPetya的文章这段时间已经铺天盖地了。大家都知道Petya和NotPetya是利用了永恒之蓝的漏洞,修改用户主引导记录(MBR),从而实现文件的加密。可是它们之间的具体区别是什么呢?本篇文章着重从技术角度分析了Petya和NotPetya的关键不同点。文章目录区别点1:XOR key区别点2:Mini-Kernel的责任区别点3:重启风格区别点4:骷髅显示区别点5:勒索信息区别点1:XOR keyPetya和NotPetya都是读取MBR并用一个简单的XOR key对其进行加密。唯一的区别在于Petya使用了0x37作为key,而NotPetya使用0x07作为key。Petya使用0x37图示NotPetya使用0x07图示区别点2:Mini-Kernel的责任Petya通过
发布时间:2017-07-10 16:00 | 阅读:128048 | 评论:0 | 标签:安全分享 安全意识 技术前沿 MBR勒索病毒 NotPetya Petya Petya 技术分析 勒索病毒 永恒之蓝

勒索病毒催生的企业安防新思路

阅读: 16WannaCry和Petya肆虐的这段期间,绿盟君在朋友圈得到了前所未有的关注。各路IT英雄纷至沓来,争相“致以慰问”:作为攻防界的老司机,绿盟君需要唠一唠这事儿。快快拿出西瓜,搬起小板凳,坐到黑板面前来吧!其实早在WannaCry爆发的两个月之前,微软就发布了针对该漏洞的补丁MS17-010。可是,为什么还是有那么多的组织中招呢?这就要涉及到补丁圈那欲说还休的二三事了。及时更新补丁:知易行难为了网络安全起见,一般企业都会制定补丁更新策略,可能一周一打补丁,可能一月一打补丁。微软也有沿袭已久的“周二补丁日”,目的就是提供补丁规律性。但是实际上,补丁的发布可能在任何时段,也有可能滞后。再加上企业的IT环境日趋复杂,充斥着大大小小的第三方供应商,所谓“牵一发而动全身”,这种复杂的生态系统让实时更新补丁难
发布时间:2017-07-05 00:40 | 阅读:119226 | 评论:0 | 标签:安全分享 Petya Ransomware TAC威胁检测 WannaCry 勒索病毒 未知威胁检测 绿盟科技 网络安全

Petya勒索软件攻击预警更新:赛门铁克进一步解析Petya勒索软件

2017年6月27日,一个名为Petya的勒索软件开始大肆传播,导致许多企业遭受攻击。企业受到攻击数量最多的国家(Top 20)与WannaCry勒索病毒类似,Petya同样利用“永恒之蓝”漏洞进行传播。但除此之外,Petya还使用了传统SMB网络传播技术,这意味着即便企业已经安装“永恒之蓝”补丁,Petya依然能够在企业内部进行传播。初始感染方式赛门铁克已经证实,网络攻击者在最初Petya入侵企业网络的过程中,使用了MEDoc。MeDoc是一种税务和会计软件包,该工具在乌克兰被广泛使用,这也表明,乌克兰企业是攻击者此次攻击的主要目标。在获得最初的立足点后,Petya便开始利用不同方式在整个企业网络中进行传播。传播和横向传播Petya是一种蠕虫病毒,该病毒能够通过建立目标计算机列表,并使用两种方法在计算机中实现
发布时间:2017-07-01 00:35 | 阅读:120217 | 评论:0 | 标签:威胁情报 Petya 勒索软件 赛门铁克

永恒之蓝再次肆虐 勒索病毒变种在多国大规模爆发

昨日,乌克兰等地遭受大规模勒索攻击,多国政府机构、银行、运营商、机场和企业都受到了不同程度的影响。不同于传统勒索软件针对文件进行加密的行为,此次勒索攻击采用磁盘加密(早期版本只对MBR和磁盘分配表进行加密)的方式进行敲诈。某安全厂商数据显示,全球目前有约2,000名用户遭到这种勒索软件的攻击。其中,俄罗斯和乌克兰的企业和组织遭受影响最为严重。此外还在波兰、意大利、英国、德国、法国、美国等国记录到相关攻击。根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有10笔赎金付款。目前得到国内外多家安全厂商交叉确认的是,此次勒索软件的传播采用了邮件、下载器和蠕虫的组合方式,并利用了此前5月份爆发的WannaCry所使用的“永恒之蓝”漏洞。电脑在感染勒索病毒Petya的变种后,病毒会修改系统的MBR引导扇区,当电脑重启
发布时间:2017-06-28 21:50 | 阅读:122973 | 评论:0 | 标签:威胁情报 Petya 勒索病毒 永恒之蓝 磁盘加密 钓鱼邮件

Petya勒索病毒首发技术分析

据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒。腾讯安全反病毒实验室旗下的哈勃分析系统对收集到的病毒样本进行了分析,并已确认病毒样本通过永恒之蓝传播。根据病毒的恶意行为,哈勃已经能够识别此病毒并判定为高度风险。腾讯安全反病毒实验室提醒用户,开启腾讯电脑管家可查杀该病毒。 根据分析结果,病毒样本运行之后,会枚举内网中的电脑,并尝试在445等端口使用SMB协议进行连接。 深入分析发现,病毒连接时使用的是“永恒之蓝”(EternalBlue)漏洞,此漏洞在之前的WannaCry勒索病毒中也被使用,是造成WannaCry全球快速爆发的重要原因之一,此次Petya勒索病毒也借助此漏洞达到了快速传播的目的。
发布时间:2017-06-28 13:05 | 阅读:103941 | 评论:0 | 标签:系统安全 Petya

Petya勒索软件新变种详细分析报告

目录 Petya勒索软件新变种详细分析报告 Petya新变种简介 传播渠道分析 可能传播渠道-邮箱传播 可能传播渠道-MeDoc 详细功能分析 感染过程分析 磁盘加密和勒索细节 安全建议 参考资料 Petya新变种简介 据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒变种。Petya勒索病毒变种中毒后会扫描内网的机器,通过永恒之蓝漏洞自传播到内网的机器,达到快速传播的目的。 有国外安全研究人员认为,Petya勒索病毒变种会通过邮箱附件传播,利用携带漏洞的DOC文档进行攻击。中毒后,病毒会修改系统的MBR引导扇区,当电脑重启时,病毒代码会在Windows操作系统之前接管电脑,执行加密等恶意操作。电脑重启后,会显示一个伪装的界面
发布时间:2017-06-28 13:05 | 阅读:108714 | 评论:0 | 标签:系统安全 Petya 勒索

Petya中的Salsa:算法修改带来的缺陷

此前哈勃分析系统介绍过关于修改MBR进行磁盘加密敲诈的木马Petya(http://www.freebuf.com/articles/web/100386.html)。最近Leo Stone给出了破解Petya密钥的完整爆破代码和解密工具,并指出Petya作者是采用变种的Salsa20算法来进行密钥的校验。通过查阅其给出的源代码并结合Salsa算法的说明,可以还原出Petya对算法所进行的修改,以及其流程的具体逻辑。Salsa20Salsa20是由Daniel J. Bernstein发明的一种分组加密算法,可以对最长2^70字节的数据进行加密,其中分组长度为2^6=64字节。此算法是对称加密算法,并且加密和解密操作是等价的,即对明文用同一密钥进行2次加密可以得到还原的明文。Salsa的输
发布时间:2016-04-14 21:40 | 阅读:84424 | 评论:0 | 标签:漏洞 Petya

PETYA勒索软件:可加密整个硬盘,锁定用户计算机

近日,安全专家发现了一款新型的勒索恶意软件——Petya,它可造成计算机蓝屏死机(BSoD),并在操作系统加载前,将常规的Windows图标替换成闪烁的、由红色和白色组成的图像,如下图:Petya不仅可以覆盖受影响系统的主引导记录(MBR),锁定用户,而且它是通过合法的云存储服务感染用户的(例如,通过Dropbox)。研究人员在分析时发现,这虽然不是恶意软件第一次通过滥用合法服务达到它的目的,但却是第一次导致crypto-ransomware感染。这种方法偏离了典型的感染链,它将恶意文件附加到电子邮件或托管在网站中,通过开发工具包传播。感染程序Petya大多数使用电子邮件进行传播。受害者会受到一封貌似来自外部工作申请人员的业务相关的邮件,其中包含一个Dropbox存储位置的超链接,一旦受害
发布时间:2016-04-03 23:15 | 阅读:80869 | 评论:0 | 标签:数据安全 系统安全 MBR Petya 加密

Petya敲诈木马拆解

近日,安全厂商G-Data发布报告说,发现了一种新的敲诈类木马Petya。此木马的特点是首先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,通过Tor匿名网络索取比特币。这是第一个将敲诈和修改MBR合二为一的恶意木马。哈勃分析系统获取到了木马样本,重现了敲诈流程。此木马的传播途径是通过邮件进行传播,邮件伪装成求职简历,目标是公司HR部门。木马通过链接的方式加入邮件中,链接指向dropbox上的一个共享文件。从dropbox上下载文件后,可以发现文件的名称也是简历相关,图标则伪装为自解压文件。此木马的恶意代码并未保存在可执行节中,而是运行后在内存中进行解压,然后再执行。这段代码的主要目的是改写磁盘MBR,然后强制重启。写MBR的方式是将“\.Physi
发布时间:2016-03-30 11:20 | 阅读:75033 | 评论:0 | 标签:WEB安全 网络安全 Petya 敲诈木马

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云