據外媒 2 日報道，美國國土安全部（DHS）計算機應急響應小組（US-CERT）發布 Petya 勒索軟件最新變體預警（TA17-181A）, 提醒組織機構盡快對軟件進行升級，避免使用不支持的應用與操作系統。

美國國土安全部下屬網絡安全與通信整合中心（NCCIC）代碼分析團隊輸出一份《惡意軟件初步調查報告》（MIFR），對惡意軟件進行了深度技術分析。在公私有部門合作伙伴的協助下，NCCIC 還以逗號分隔值形式提供用于信息分享的輸入/出控制系統（IOC）”。

此份預警報告的分析范圍僅限曝光于 2017 年 6 月 27 日的 Petya 最新變體，此外還涉及初始感染與傳播的多種方法，包括如何在 SMB 中進行漏洞利用等。漏洞存在于 SMBv1 服務器對某些請求的處理過程，即遠程攻擊者可以通過向SMBv1服務器發送特制消息實現代碼執行。

US-CERT 專家在分析 Petya 勒索軟件最新樣本后發現，該變體使用動態生成的 128 位秘鑰加密受害者文件并為受害者創建唯一 ID。專家在加密秘鑰生成與受害者 ID 之間尚未找到任何聯系。

“盡管如此，仍無法證明加密秘鑰與受害者 ID 之間存在任何關系，這意味著即便支付贖金也可能無法解密文件”。

“此 Petya 變體通過 MS17-010 SMB 漏洞以及竊取用戶 Windows 登錄憑據的方式傳播。值得注意的是，Petya 變體可用于安裝獲取用戶登錄憑據的 Mimikatz 工具。竊取的登錄憑據可用于訪問網絡上的其他系統”。

US-CERT 分析的樣本還通過檢查被入侵系統的 IP 物理地址映像表嘗試識別網絡上的其他主機。Petya 變體在 C 盤上寫入含有比特幣錢包地址與 RSA 秘鑰的文本文件。惡意代碼對主引導記錄（MBR）進行修改，啟用主文件表（MFT）與初始 MBR 的加密功能并重啟系統、替換 MBR。

“從采用的加密方法來看，即便攻擊者收到受害者ID也不大可能恢復文件。”

US-CERT建議組織機構遵循 SMB 相關最佳實踐，例如：

1、禁用 SMBv1。

2、使用 UDP 端口 137-138 與 TCP 端口 139 上的所有相關協議阻止 TCP 端口 445，進而阻攔所有邊界設備上的所有 SMB 版本。

“ US-CERT 提醒用戶與網絡管理員禁用 SMB 或阻止 SMB 可能因阻礙共享文件、數據或設備訪問產生一系列問題，應將緩解措施具備的優勢與潛在問題同時納入考慮范疇”。

以下是預警報告中提供的防范建議完整列表：

1、采用微軟于 2015 年 3 月 14 日發布的補丁修復 MS17-010 SMB 漏洞。

2、啟用惡意軟件過濾器防止網絡釣魚電子郵件抵達終端用戶，使用發送方策略框架（SPF）、域消息身份認證報告與一致性（DMARC）、DomainKey 郵件識別（DKIM）等技術防止電子郵件欺騙。

3、通過掃描所有傳入/出電子郵件檢測威脅，防止可執行文件抵達終端用戶。

4、確保殺毒軟件與防病毒解決方案設置為自動進行常規掃描。

5、管理特權賬戶的使用。不得為用戶分配管理員權限，除非有絕對需要。具有管理員賬戶需求的用戶僅能在必要時使用。

6、配置具有最少權限的訪問控制，包括文件、目錄、網絡共享權限。如果用戶僅需讀取具體文件，就不應具備寫入這些文件、目錄或共享文件的權限。

7、禁用通過電子郵件傳輸的微軟 Office 宏腳本。考慮使用 Office Viewer 軟件代替完整的 Office 套件應用程序打開通過電子郵件傳輸的微軟 Office 文件。

8、制定、研究并實施員工培訓計劃以識別欺詐、惡意鏈接與社工企圖。

9、每年至少對網絡運行一次定期滲透測試。在理想情況下，盡可能進行多次測試。

10、利用基于主機的防火墻并阻止工作站間通信。