来自 应用 2021-07-13 08:15 的文章

海外高防_高防油_零误杀

海外高防_高防油_零误杀

Petya/NotPetya甚至会给修补好的系统带来风险2017年6月27日上午,在乌克兰发现了一个与最近的WannaCry恶意软件类似的勒索软件新爆发。这些恶意软件迅速在欧洲蔓延,影响到银行、政府、零售和电力等多个行业。虽然一开始,勒索软件似乎是Petya家族的变种,cdn防御ddos方式,但研究人员已经确定它们没有关联,现在将恶意软件命名为"NotPetya"。这种勒索软件的破坏性可能比WannaCry更大,因为它不需要脆弱的、未修补的系统在本地网络上传播。我们的分析还在进行中,但这篇文章强调了现有补丁系统的危险性。一个彻底的分析和任何更新将张贴在新的信息被发现。Petya/NotPetya工具、技术和程序(TTP)感染初始受害者后,NotPetya会枚举系统上保存的所有SMB凭据,并使用这些凭据登录到本地网络上的其他计算机。因为勒索软件使用现有的SMB凭据连接到系统,即使是修补过的Windows计算机也会受到感染。单击"图像"展开图1。SMB凭据枚举NotPetya可以通过以下两种方式之一感染其他网络系统:使用远程管理工具"psexec"在远程主机上执行恶意软件:psexec-accepteula-s-d c:\windows\system32\rundll32.exe c:\windows\\,\1使用内置的Windows Management Instrumentation命令行工具(WMIC):c: \windows\system32\wbem\wmic.exe文件/节点:/user:/password:进程调用create C:\Windows\System32\rundll32.exe C:\Windows\\\1对于第一个方法,cc防火墙,NotPetya试图将嵌入其资源部分的Windows Sysinternals工具"psexec"的副本写入%WinDir%\主机数据.第二种方法使用WMIC,它在Windows系统中默认包含,并允许连接到远程系统来执行管理任务。在上面的命令中,恶意软件使用和凭据连接到(IP地址或主机名),并在远程系统上执行NotPetya DLL。Petya/NotPetya和WannaCry勒索软件之间的区别与WannaCry不同,此版本的NotPetya不需要易受EternalBlue SMB攻击的漏洞,以便传播到网络上的其他系统。成功感染一台主机可使勒索软件传播到受感染系统具有SMB凭据的任何连接系统。因此,修补SMB漏洞和禁用SMBv1将不会阻止恶意软件的传播,就像WannaCry中那样。检测Petya/NotPetya勒索软件的AI引擎规则以下是logrymethy用户可以用来检测NotPetya感染和传播的AI引擎规则。图2。Petya命令图3。Petya文件准备图4。Petya哈希值图5。Petya过程进展AI引擎规则导入说明下载logrythym7.2的AI引擎规则下载适用于logrymethy6.3或更高版本的AI引擎规则logrythym实验室已经为最新的logrythym版本7.2.5以及logrythym版本6.3及更高版本创建了Petya AI引擎规则。请找到以上每个版本的下载。请注意:由于对早期版本的更改,有一个Petya-AI规则(Petya:Hash Values),如果客户端环境运行的版本早于7.2,则该规则将无法正确导入。LogRhym实验室建议以下解决方法:升级客户端LogRhy平台至7.2.5版本,重新启用哈希值AI引擎规则。使用"ObjectName"元数据字段而不是"Hash"元数据字段重新创建AI引擎规则。"ObjectName"元数据字段是在7.2版中创建"hash"元数据字段之前用于列出哈希值的默认元数据字段。如果客户机环境中存在将哈希值解析为备用元数据字段的自定义日志源,则应修改AI引擎规则以反映该元数据字段。您还需要使用KB.390或更高版本,否则您可能无法导入规则。现在来看看说明书:打开LogRhym控制台。通过Deployment Manager>AI Engine选项卡导航到AI引擎选项卡。图6:AI引擎选项卡选择下拉菜单"操作",ddos防御是什么意思,然后选择"导入"图7:下拉菜单>操作>导入选择要导入的.airx(AI规则文件格式)文件,然后选择"打开"图8:Import.airx文件成功导入后,将显示以下弹出窗口:图9:确认可能会出现一个错误,ddos防御手段,说明KB版本与选择导入的AI引擎规则已过期。如果发生这种情况,请将知识库升级到最新版本,什么盾防御ddos,然后再次执行此过程。请访问我们的博客,了解有关Petya/NotPetya勒索软件的持续信息和技术分析。附加内容LogRhythm实验室还创建了一个NetMon深度包分析(DPA)规则来检测Petya的横向运动。这可以与企业版或NetMon Freemium一起使用。下载Petya的DPA规则致谢感谢LogRhym实验室团队成员Erika Noerenberg、Nathanial Quist和Andrew Costis对Petya/NotPetya勒索软件的持续分析和报告。LinkedIn Twitter Facebook Reddit电子邮件