當前位置:係統粉 >   IT資訊 >   業界資訊 >  “永恒之藍”來龍去脈

“永恒之藍”來龍去脈

時間:2017-05-14 來源:互聯網 瀏覽量:

最新統計數據顯示,勒索病毒自5月12日首次爆發至今,全球已經有超過20萬PC收到感染,而如今事情正在變得更糟。

稍早,英國安全人員研究發現黑客在勒索病毒當中注入了一個“自毀開關”,當病毒ping到一個特殊域名時便會自動停置攻擊,進入蟄伏狀態。

當時分析人員認為,這是黑客擔心事態完全失去控製而為自己留的一條後路。

但同時也有預測觀點稱,當黑客發現自己的後路被安全人員用掉了之後,可能會修改病毒代碼,從而發起新一輪攻擊。

不幸的是,這種預測應驗了。

研究人員在剛剛過去的這個周末已經發現,黑客偷偷對勒索病毒的代碼進行了修改,許多病毒樣本的“自毀開關”被設計ping到與已知域名不同的新域名,或者幹脆取消了“自毀開關”設置。

安全人員表示,黑客的這種做法非常危險,恐怕很多人在周一上班打開電腦時就會發現自己也中招了。

我們先來回顧下本次事件的相關背景:

2007年,美國國家安全局NSA開始實施棱鏡計劃,全麵監視互聯網。

2013年6月,前中情局雇員愛德華斯諾登對媒體披露棱鏡計劃,並指出美國政府支持的黑客對全球多個國家進行了黑客攻擊。

2016年一個叫做“影子破壞者”的黑客組織公開拍賣美國國家安全局使用的部分攻擊工具,其中包含了微軟操作係統的一個漏洞(代號是永恒之藍),雖然微軟公司在今年三月份的時候發布補丁修複了這個漏洞,但因為大量低版本的Windows操作係統並不在微軟的服務範圍之內,所以仍然有數量巨大的用戶處於未受保護的狀態。隨著時間的推移,原本的準軍方武器,落入了黑色產業鏈的手上,並把它製作成為勒索病毒,這就是本次事件的前因後果。

下麵我們來初步分析下本次事件的影響:

本次勒索病毒的覆蓋範圍非常廣,從醫院到學校到企業,甚至包括了部分政府敏感部門,遍布世界各地,可以說是近十年來影響最大的一次信息安全事件。本次勒索病毒的性質也很惡劣,並不像過去以傳遞製作者理念和思想為核心的傳播型病毒,或者以炫耀技術為目的的破壞型病毒,而是采用加密技術將用戶的重要資料加密劫持,從而訛詐用戶贖金的商業病毒。

本次事件尚未完全結束,因為事件爆發的時間是周末,有很多辦公電腦處於關機狀態,明天周一上班後如果相應的管理人員不能及時采取安全防護措施,還會有一次延遲的爆發。

被“影子破壞者”曝光的NSA漏洞並不隻有“永恒之藍”一個,甚至可以預想到還有更多的軍用級網絡武器尚未被曝光,而這種準軍事攻擊工具民用化黑產化的模式一旦傳播開來,未來很可能會出現更多的大規模信息安全事件。

“永恒之藍”分析及應對方案

經過分析,這是一起勒索軟件與高危漏洞相結合的惡性蠕蟲傳播事件,其嚴重性不亞於當年的“衝擊波”病毒。勒索軟件為最新的“wannacry”的家族,目前尚無法對加密後的文件進行解密,中招後隻能重裝係統或向黑客支付贖金解決。此次“wannacry”勒索蠕蟲瘋狂傳播的原因是借助了前不久泄露的Equation Group(方程式組織)的“EternalBlue(永恒之藍)”漏洞利用工具的代碼。該工具利用了微軟今年3月份修補的MS17-010 SMB協議遠程代碼執行漏洞,該漏洞可影響主流的絕大部分Windows操作係統版本。

漏洞影響範圍:

MS17-010漏洞主要影響以下操作係統:Windows 2000,Windows 2003,Windows XP,Windows Vista,Windows7,Windows8,Windows10,Windows2008,Windows2012。

由於EternalBlue的利用代碼主要針對WindowsXP以及Windows7,2008,因此此次事件對於Windows XP、Windows 7,Windows2008的影響更為嚴重。上述Win7及以上操作係統隻要打開了445端口且沒有安裝MS17-010的機器則確認會受到影響。

WindowsXP/2003操作係統沒有補丁,隻要開啟了445端口則確認受到影響。

該勒索軟件采用包括英語、簡體中文、繁體中文等28種語言進行“本地化”。會將自身複製到每個文件夾下,[email protected]@.exe”。同時衍生大量語言配置等文件,該勒索軟件AES和RSA加密算法,加密的文件以“WANACRY!”開頭。

解決方案

◆ 做好重要文件的備份工作(非本地備份)。

◆ 開啟係統防火牆。

◆ 利用係統防火牆高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)。

◆ 打開係統自動更新,並檢測更新進行安裝。

◆ 停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作係統。

◆ 如無需使用共享服務建議關閉該服務。

已部署端點安全的終端應急解決方案

◆ 如果用戶已經部署終端管理類產品,如北信源,天珣、聯軟等

◆ 通過終端管理軟件進行內網打補丁。

◆ 通過主機防火牆關閉入棧流量。主機防火牆關閉到445出棧流量。

◆ 開啟文件審計,隻允許word.exe,explore.exe等對文件訪問。

◆ 升級病毒庫。

網絡應急解決方案

◆ 在邊界出口交換路由防火牆設備禁止外網對內網135/137/139/445端口的連接。

◆在內網核心主幹交換路由防火牆設備禁止135/137/139/445端口的連接。

◆ 如果有部署入侵防禦等防護係統則盡快檢查漏洞庫升級,開啟防禦策略。

◆ 發布通知重點留意郵件、移動存儲介質等傳播渠道,做好重點檢查防護工作。

已中毒用戶

◆ 斷開網絡連接,阻止進一步擴散。

◆ 優先檢查未感染主機的漏洞狀況(可直接聯係啟明星辰,提供免費檢測工具使用),做好漏洞加固工作後方可恢複網絡連接。

◆ 已經感染終端,根據終端數據類型決定處置方式,如果重新安裝係統則建議完全格式化硬盤、使用新操作係統、完善操作係統補丁、通過檢查確認無相關漏洞後再恢複網絡連接。

內部排查應急方案

◆ 若用戶已部署漏洞掃描類產品,可聯係廠商獲得最新漏洞庫的支持。

◆ 未部署相關產品的用戶,可聯係廠商獲得產品試用應急。

無法關閉服務端口的應急解決方案

◆ 若用戶已部署UTM/IPS入侵防禦類產品,可聯係廠商獲得最新事件庫的支持。

◆ 未部署相關產品的用戶,可聯係廠商獲得產品試用應急。

詳細分析

當係統被此次“wannacry”勒索蠕蟲入侵後,在自我“蠕蟲式”傳播的同時,會使用“AES+RSA”算法加密文件,所有被加密文件都被添加了“WNCRY”的擴展名後綴。

具體的,“wannacry”病毒運行後,會檢查參數個數,當小於2時,創建並啟動服務mssecsvc2.0,服務參數是-m security,服務鏡像為其自身。之後釋放wanacrypt0r,並運行。

當參數大於等於2,也即它認為是以服務啟動時,執行蠕蟲傳播功能。蠕蟲功能會開啟兩個線程,一個負責掃描本地網絡:

另一個線程負責掃描整個互聯網,IP隨機生成:

當掃描到有問題的主機時,會使用NSA工具的DoublePulsar paload將其傳播過去(相關分析見http://www.venustech.com.cn/NewsInfo/4/45762.Html), DoublePulsar可以將一個動態庫植入,因此該蠕蟲傳播的也是一個動態庫。

動態庫有x86、x64兩個版本。功能簡單,隻有一個導出函數PlayGame,運行後會直接加載資源節”W”,資源節”W”便為蠕蟲自身,保存為C:mssecsvc.exe,並運行。

“永恒之藍”來龍去脈(1)

我要分享:

最新熱門遊戲

版權信息

Copyright @ 2011 係統粉 版權聲明 最新發布內容 網站導航