沙滩比基尼美女视频,性感美女黄色视频,ai换脸杨幂视频在线观看

　　自從SamSam在2016年3月份針對美國醫(yī)療機構(gòu)的攻擊以來，Talos一直關(guān)注通過未修補網(wǎng)絡漏洞的ransomware的擴散。在2017年5月，WannaCry ransomware利用了SMBv1中的一個漏洞，并在互聯(lián)網(wǎng)上像野火一樣蔓延。

　　今天，一個新的惡意軟件版本已經(jīng)浮出水面，這與Petya不同，人們已經(jīng)通過Petrwrap和GoldenEye等各種名稱提到了它。Talos正在將這種新的惡意軟件變種識別為Nyetya。該樣本利用EternalBlue，EternalRomance，WMI和PsExec在受影響的網(wǎng)絡中進行橫向移動。此行為稍后在“惡意軟件功能”下的博客中詳細介紹。與WannaCry不同，Nyetya似乎不包含外部掃描組件。

　　識別初始載體已被證明更具挑戰(zhàn)性。電子郵件向量的早期報告無法確認。基于觀察到的野外行為，缺乏一個已知的，可行的外部擴散機制和其他研究，我們認為有些感染可能與烏克蘭稅務會計軟件MeDoc的軟件更新系統(tǒng)有關(guān)。Talos繼續(xù)研究這種惡意軟件的初始向量。

　　與所有的贖金一樣，Talos不建議支付贖金。使用這個特定的贖金軟件，應該注意的是，用于支付驗證和解密密鑰共享的相關(guān)郵箱已經(jīng)被posteo.de網(wǎng)站關(guān)閉了。這使得任何成功的付款無效 - 這個攻擊者沒有可用的通信方法用于驗證受害者的付款或一旦收到贖金付款后分發(fā)解密密鑰。惡意軟件還沒有使用直接連接命令和遠程解鎖控制的方法。Nyetya不是一塊贖金（這意味著你通過支付贖金得到你的數(shù)據(jù)），更多的是一個“擦除”系統(tǒng)，用于簡單地擦除系統(tǒng)。

　　恢復用戶證書

　　負責傳播惡意軟件的Perfc.dat在其資源部分包含一個嵌入式可執(zhí)行文件�？蓤�(zhí)行文件作為臨時文件放在用戶的％TEMP％文件夾中，并使用命名管道參數(shù)（包含GUID）運行。主要可執(zhí)行文件使用這個命名管道與刪除的可執(zhí)行文件通信例如：

　　丟棄的。tmp可執(zhí)行文件似乎基于Mimikatz，這是一種流行的開源工具，用于使用幾種不同的技術(shù)從計算機內(nèi)存中恢復用戶憑據(jù)。但是，Talos已經(jīng)確認可執(zhí)行文件不是Mimikatz工具。

　　然后，恢復的憑據(jù)用于使用WMIC和PsExec在遠程系統(tǒng)上啟動惡意軟件。例如：

　　惡意軟件功能

　　Perfc.dat包含進一步破壞系統(tǒng)所需的功能，并包含一個名為＃1的未命名導出功能。該庫嘗試通過Windows API AdjustTokenPrivileges為當前用戶獲取管理員權(quán)限（SeShutdowPrivilege和SeDebugPrivilege）。如果成功，Nyetya將覆蓋Windows中稱為PhysicalDrive 0的磁盤驅(qū)動器上的主引導記錄（MBR）。無論惡意軟件是否成功覆蓋MBR，然后將繼續(xù)通過schtasks創(chuàng)建一個計劃任務，以在感染后一個小時重啟系統(tǒng)。

　　作為傳播過程的一部分，惡意軟件通過NetServerEnum API調(diào)用枚舉網(wǎng)絡上的所有可見機器，然后掃描打開的TCP 139端口。這樣做是為了編譯暴露此端口的設備列表，并可能容易受到影響。

　　Nyetya有幾種機制，一旦設備被感染就被用來傳播：

EternalBlue - WannaCry使用的相同漏洞。
EternalRomance - 由“ShadowBrokers”漏掉的SMBv1漏洞
PsExec - 一個合法的Windows管理工具。
WMI - Windows Management Instrumentation，一個合法的Windows組件。
這些機制用于嘗試在其他設備上安裝和執(zhí)行perfc.dat以橫向擴展。

　　對于尚未使用MS17-010的系統(tǒng)，EternalBlue和EternalRomance漏洞利用來破壞系統(tǒng)。針對受害者系統(tǒng)發(fā)起的漏洞取決于預期目標的操作系統(tǒng)。

　　EternalBlue

Windows Server 2008 R2
Windows Server 2008
Windows 7的
EternalRomance
Windows XP
Windows Server 2003
Windows Vista

　　PsExec用于使用當前用戶的Windows令牌執(zhí)行以下指令（其中wxyz是IP地址）（從“恢復用戶證書”部分）部分，以在聯(lián)網(wǎng)的設備上安裝惡意軟件。

　　WMI用于執(zhí)行以下命令，執(zhí)行與上述相同的功能，但使用當前用戶的用戶名和密碼（作為用戶名和密碼），從上述“恢復用戶憑證”部分檢索。

　　一旦系統(tǒng)成功受損，惡意軟件會使用2048位RSA加密來加密主機上的文件。此外，惡意軟件使用以下命令清除受感染設備上的事件日志：

　　MBR覆蓋的系統(tǒng)在重新啟動時會看到此消息。

　　Nyetya遭到破壞的系統(tǒng)的屏幕截圖。

　　緩解和預防

客戶可以通過幾種方式來減輕和阻止Nyetya影響您的環(huán)境。
首先，我們強烈建議尚未申請MS17-010的客戶立即執(zhí)行。鑒于漏洞的嚴重性以及利用這一漏洞的廣泛使用的工具，將此漏洞保留在未被修補是不明智的。
確保您的系統(tǒng)上部署了可以檢測和阻止已知惡意可執(zhí)行文件執(zhí)行的防惡意軟件軟件。
實施災難恢復計劃，其中包括備份和恢復備份設備的數(shù)據(jù)，這些備份設備保持脫機狀態(tài)。對手經(jīng)常針對備份機制來限制用戶可以在不支付贖金的情況下還原其文件的可能性。
如果可能，在網(wǎng)絡上禁用SMBv1，并轉(zhuǎn)移到更新版本的SMB。（SMBv2與Microsoft Vista一起推出）

　　由于Nyetya試圖在受感染的機器上覆蓋MBR，Talos使用MBRFilter進行測試，以防止系統(tǒng)MBR允許進行任何更改。該測試證明是成功的，并且機器MBR在良好狀態(tài)下保持完好。對于可以這樣做的用戶或企業(yè)，我們建議使用MBRFilter。請注意，MBRFilter是Talos的開源項目，不提供任何保證或擔保。

　　覆蓋

　　Cisco客戶通過以下產(chǎn)品和服務受到Nyetya的保護。

　　高級惡意軟件防護（AMP）非常適合防止這些威脅演員使用的惡意軟件的執(zhí)行。

　　諸如NGFW，NGIPS和Meraki MX等網(wǎng)絡安全設備可以檢測與此威脅相關(guān)的惡意活動。

　　AMP Threat Grid可幫助識別惡意二進制代碼，并對所有Cisco Security產(chǎn)品構(gòu)建保護。

　　電子郵件和網(wǎng)絡目前還沒有被識別為攻擊媒介。此外，目前還沒有與此惡意軟件相關(guān)的已知C2元素。惡意軟件（如果通過網(wǎng)絡上的這些系統(tǒng)傳輸）將被阻止。

　　NGIPS / Snort規(guī)則

　　以下NGIPS / Snort規(guī)則檢測此威脅：

42944 - OS-WINDOWS Microsoft Windows SMB遠程代碼執(zhí)行嘗試
42340 - OS-WINDOWS Microsoft Windows SMB匿名會話IPC共享訪問嘗試
41984 - OS-WINDOWS Microsoft Windows SMBv1相同的MID和FID類型混淆嘗試

　　以下NGIPS / Snort規(guī)則也是感染流量的指標：

5718 - OS-WINDOWS Microsoft Windows SMB-DS Trans unicode最大參數(shù)/計數(shù)OS-WINDOWS嘗試
1917 - INDICATOR-SCAN UPnP服務發(fā)現(xiàn)嘗試
5730 - OS-WINDOWS Microsoft Windows SMB-DS Trans Max Param OS-WINDOWS嘗試
26385 - FILE-EXECUTABLE Microsoft Windows可執(zhí)行文件保存到SMB共享嘗試
43370 - NETBIOS DCERPC可能的wmi遠程進程啟動

　　AMP覆蓋