Petya 勒索软件攻击对 Windows 10 平台的弹性 | MSRC 博客
本文章是 MMPC 博客 “Windows 10 platform resilience against the Petya ransomware attack”(2017 年 6 月 29 日美国时间发布)部分章节的翻译。
2017/8/15:随着白皮书 “Next-gen ransomware protection with Windows 10 Creators Update(Windows 10 Creators Update 提供的下一代勒索软件防护)” 日文版的发布,更新了链接。
2017 年 6 月 27 日发生的 Petya 勒索软件攻击(本博客进行了详细分析(英文信息))可能被认为比上个月的 WannaCrypt(也称为 WannaCry)攻击影响更大。因为 Petya 不仅利用了与 WannaCrypt 相同的 SMB 漏洞,还添加了第二个漏洞和其他横向移动技术。然而,遥测数据显示攻击的传播范围比 WannaCrypt 小。
新的 Petya 变种是非常复杂的恶意软件,但根据遥测数据,实际感染数量似乎比其蠕虫式传播功能预期的要少。
攻击始于乌克兰,事件平息后,遭遇 Petya 的计算机中有 70% 以上位于乌克兰。
其他国家的计算机也受到感染,但数量非常少。
受感染的计算机大部分运行的是 Windows 7。
在这篇后续博客文章中,我们探讨了 Windows 10 和 Windows 10 S 中的平台保护和威胁缓解措施。Windows 10 S 通过安全设置和减少的攻击面,默认阻止此攻击。正如之前在白皮书(英文信息)中所述,Windows 10 Creators Update 包含了防御勒索软件攻击的下一代安全技术。
我们还将介绍持续调查中的新发现,特别是勒索软件修改引导扇区的行为。
Windows 10 提供的保护和缓解
新的 Petya 勒索软件结合了多种已知技术进行传播和感染。这些技术对安全研究人员来说并不新奇。值得注意的是,Petya 开发者使用了渗透测试人员和黑客常用的技术,在一个代码中实现了高级多线程自动化。
此类攻击者技术是现代威胁环境的一部分,微软安全团队持续进行调查。由此产生的新缓解措施、增强功能或防御措施被纳入微软的产品和操作系统。
Windows 10 遵循这一持续的缓解改进策略。通过分析 Petya,我们能够评估 Windows 10 提供的防御措施。下图总结了缓解措施和安全功能如何中断此攻击的不同阶段。
[Petya 攻击链示意图,显示 Windows 10 平台防御如何缓解或阻止特定技术的执行]
图中所示的每种缓解措施都对应 Windows 10 完全防止或缓解的特定恶意软件技术。有关 Windows 10 中包含的这些缓解措施的概述和具体细节,请参阅此网页。以下是每种缓解措施如何阻止 Petya 技术的技术细节:
-
Device Guard:通过强制执行强大的代码完整性策略,仅允许运行受信任的签名应用程序。因此,可以阻止 Petya 的入侵向量(运行不受信任二进制文件的更新工具)以及通过 PSEXEC 或 WMI 执行不受信任 DLL 的进一步传播尝试。
-
Credential Guard:通过基于虚拟化的安全隔离 LSASS 进程,完全保护免受 Petya 使用类似 Mimikatz 的外部工具执行凭据转储。同时保护 Windows 凭据存储中保存的域凭据。内存中暴露的访问令牌可能被 Petya 利用,但这是一种效果较弱的传播机制,依赖于第三方工具或 Petya 运行时内存中活跃的其他进程。
-
多种漏洞缓解措施:如 KASLR(内核随机化)、NX HAL 和 PAGE POOL(不可执行内核区域)默认包含在 Windows 10 Anniversary 和 Creators Update 中,有助于缓解 EternalBlue 和 EternalRomance 等 SMB 漏洞。KCFG(内核控制流防护)和 HVCI(内核代码完整性)等缓解措施通过 Device Guard 自动启用,提供针对新漏洞的额外对策。之前发布的博客(英文信息)详细说明了缓解措施如何使 Windows 10 免受未知零日漏洞影响,并帮助缓解威胁。
-
UEFI 安全启动(英文信息):使用硬件功能保护启动过程和固件免受篡改的安全标准。此保护措施阻止 Petya 使用引导加载程序执行危险的磁盘加密。Petya 执行强制重启后,启用安全启动的计算机会检测到异常引导加载程序,阻止其进一步执行,抑制损害,并防止导致数据完全丢失的非常危险的磁盘扇区加密。处于此状态的计算机启动会停止,可以使用 Windows USB/DVD 的正常修复功能进行恢复。注意:Petya 在重启前有限时间内加密的单个文件仍保持加密状态,需要从备份中恢复。
-
对于无法使用 Device Guard 的计算机(由于硬件要求不足或运行不支持新缓解措施的旧操作系统,如 Windows 7),可以使用 App Locker 阻止特定程序(如 PSEXEC)或未签名二进制文件(如 Petya 的 DLL 库)的执行。
最后,对于运行旧操作系统(如 Windows 7)且无法使用新硬件和软件缓解措施的网络管理员,可以考虑部署增强配置,以减慢或排除特定横向移动技术。此类增强配置可能会影响合法功能,如文件共享和远程管理,因此在部署前需要仔细验证。
- 阻止或限制对特定 IP 地址的文件共享服务(SMB)访问:
netsh firewall set service fileandprintnetsh firewall set service RemoteAdmin disable - 阻止使用 PSEXEC 进行远程执行:
FOR /F "usebackq tokens=2 delims=:" %a IN ('sc.exe sdshow scmanager') DO sc.exe sdset scmanager D:(D;;0x00040002;;;NU)%a - 控制远程 WMI 访问(英文信息)
针对勒索软件攻击的保护措施
本周出现的新 Petya 勒索软件变种比原始版本显著复杂。通过使用第二个漏洞和添加传播技术,它改进了相对于 WannaCrypt 的传播机制。这些横向移动功能使该勒索软件对受感染计算机连接的网络构成更高风险。此外,本博客中描述的勒索软件修改引导扇区的行为增加了对计算机的潜在损害。
此次 Petya 的大流行证明了勒索软件攻击不断演变的复杂性。保护计算机和网络需要多层防御堆栈。微软致力于通过下一代功能持续增强 Windows 10 以保护客户。如本博客所述,Windows 10 包含了缓解 Petya 等勒索软件攻击的防御措施。
通过 Windows Defender 防病毒和 Windows Defender Advanced Threat Protection,客户可以检测、调查和响应勒索软件攻击。企业可以使用 Device Guard 锁定设备,并提供内核级基于虚拟化的安全。Credential Guard 保护 Windows 凭据存储中保存的域凭据。
有关 Windows 10 安全功能的详细信息,请参阅白皮书 “Windows 10 Creators Update 提供的下一代勒索软件防护”。
有关新 Petya 变种特有的缓解措施,请参阅博客文章 “New ransomware, old techniques: Petya adds worm capabilities”(英文信息)。
资源
- Next-generation ransomware protection with Windows 10 Creators Update(英文信息):https://blogs.technet.microsoft.com/mmpc/2017/06/08/windows-10-creators-update-hardens-security-with-next-gen-defense/
- 下载英文版安全更新:Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
- 下载本地化语言安全更新:Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
- MS17-010 安全更新:https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx
- 关于勒索软件的一般信息(英文信息):https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx