Petya勒索软件攻击事件技术分析与防护措施

微软安全响应中心针对Petya勒索软件攻击的技术分析报告,详细说明其通过乌克兰财务软件更新传播的入侵方式,利用SMB漏洞(CVE-2017-0144/0145)横向移动的机制,并提供包括安装MS17-010补丁、禁用SMBv1等具体防护方案。

Petya勒索软件攻击事件更新

与近期WannaCrypt事件类似,我们再次遭遇名为Petya的勒索软件攻击。早期报告中存在大量相互矛盾的信息,包括对无关数据和误导性内容的混淆。微软团队迅速展开调查分析,使我们的恶意软件防护团队能够发布检测签名。

攻击技术分析

  1. 初始感染途径:恶意软件最初通过乌克兰公司M.E.doc财务软件的更新服务传播(该软件在乌克兰和俄罗斯广泛使用)
  2. 横向移动技术
    • 利用未修复的漏洞CVE-2017-0144和CVE-2017-0145进行网络传播(微软已于2017年3月发布修复补丁MS17-010)
    • 当漏洞利用失效时,会采用凭证窃取、网络遍历等其他感染手段

防护方案

  1. 紧急措施
    • 立即安装安全更新MS17-010
    • 无法安装补丁的用户可禁用SMBv1(操作步骤见KB2696547)
  2. 增强防护
    • 实施网络分段和最小权限账户策略
    • Windows 10用户可使用Device Guard限制设备仅运行可信应用
    • 部署Windows Defender高级威胁防护(ATP)自动检测勒索软件行为

微软将持续调查并采取必要措施保护客户安全。当前威胁形势表明,网络犯罪分子会不断调整攻击方式,需要同等级别的防御措施应对。

技术资源

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次