信息來源:Freebuf
北京時間2017年5月12日,一款名為“WannaCry”(也稱WannaCrpt���、 WannaCrpt0r���、Wcrypt、WCRY)的勒索軟件在全球范圍內爆發(fā)�,造成極大影響。針對本次攻擊事件����,國家信息安全漏洞庫(CNNVD)進行了分析研究 ,情況如下:
1��、 網(wǎng)絡攻擊事件背景
此次爆發(fā)的“WannaCry”勒索軟件來自“永恒之藍”(EternalBlue)�,主要利用微軟Windows操作系統(tǒng)的MS17-010 漏洞進行自動傳播。相關數(shù)據(jù)顯示����,每小時攻擊次數(shù)高達4000余次。“永恒之藍”是一種特洛伊加密軟件(Onion Ransomware)�, 利用Windows 操作系統(tǒng)在445端口的安全漏洞(CNNVD-201703-721 ~ CNNVD-201703-726)潛入電腦對多種文件類型加密并添加.onion后綴,使用戶無法打開����。
2��、 “WannaCry”勒索軟件技術特點及危害
(一)攻擊特性
爆發(fā)突然�����。短短一天內��,在幾乎毫無任何預兆的情況下�����,百余個國家和地區(qū)遭受攻擊并呈現(xiàn)蔓延態(tài)勢��。行為惡劣�����。勒索蠕蟲一旦成功入侵�����,將加密系統(tǒng)內全部文檔���,并通過破壞硬盤快照的方式增加系統(tǒng)恢復難度,不交付贖金 (單機解密贖金300美元至 600美元�,一般通過比特幣支付)無法解密。自動傳播����。可利用Windows平臺所有版本 (winXP�、Vista、Win7�、Win8、Win2003��、 Win2008�����、Win10等 )的漏洞進行自動傳播�,未打補丁的機器極易感染并在內外網(wǎng)快速傳播。無法解密�����。勒索軟件使用AES128加密文件��,使用RSA2048公鑰加密AES密鑰�����。據(jù)目前情況看 ,除美國外其他國家基本無法通過計算或碰撞的方式進行解密��。通信匿名�����。勒索軟件進行攻擊后����,會自動釋放Tor網(wǎng)絡組件,用于解密程序的網(wǎng)絡通信��,贖金使用比特幣支付 ��,使勒索過程難以追蹤溯源����。時間掐準。此次攻擊發(fā)生正值周末 ��,據(jù)分析在我國爆發(fā)時間應為周五下午3點左右��,恰逢國內各單位網(wǎng)絡安全防范最松懈之時���。攻擊意外中斷����。勒索軟件中預留了終止機制,即訪問一個超長域名成功攻擊傳播就會停止����。美國洛杉磯威脅情報公司一名員工注冊了該域名開啟了停止機
制����,域名啟用后每秒訪問IP過千。
(二)現(xiàn)實危害
文檔損失���。遭受攻擊的各類文檔均被加密�,無法訪問使用���。系統(tǒng)停服�。系統(tǒng)會不斷彈出交付贖金的窗口����,無法正常使用。解密存疑�����。目前尚無對交付贖金進行解密操作的分析,不確定是否能夠正常解密���。
(三)潛在風險
內網(wǎng)蔓延���。尚未出現(xiàn)爆發(fā)大規(guī)模感染的情況,但分析其代碼可知����,內網(wǎng)蔓延的隱患仍然存在。變種變異�����。隨著殺毒軟件和安全防護措施的升級�����,“WannaCry”勒索軟件若想避免查殺繼續(xù)存活�����,或會改變特征值 ����,而為繼續(xù)感染更多計算機�,也可能利用新的漏洞進行換代升級����。
三、全球遭受網(wǎng)絡攻擊總體情況
(一)網(wǎng)絡攻擊涉及的范圍廣����。
此次網(wǎng)絡攻擊涉及百余個國家和地區(qū)的政府��、電力�����、電信�����、醫(yī)療機構等重要信息系統(tǒng)及個人電腦遭受嚴重網(wǎng)絡攻擊��,最嚴重區(qū)域集中在美國���、歐洲�����、澳洲等�。截至目前,全球攻擊案例超過75000個�����。
(二)網(wǎng)絡攻擊無明顯地域��、行業(yè)分布特點
從受攻擊目標類型與地域分布來看���,此次攻擊未表現(xiàn)出顯著的地域與行業(yè)分布特點�����,與“WannaCry”隨機掃描傳播機制一致���,攻擊無明顯指向性和目標性。
(三)各方積極應對與防范
各國政府謹慎應對����。尚無國家政府宣稱已經(jīng)調查掌握事件幕后詳細情況。英��、德、俄�、美等多個國家向本國公民及機構發(fā)出警告,要求盡快更新補丁�����,做好計算機數(shù)據(jù)備份等防護工作�。對于已感染設備中被加密的文件,目前各國政府及信息安全企業(yè)均無法提供有效的數(shù)據(jù)破解恢復手段��。英國政府國家網(wǎng)絡安全中心 (NCSC)稱其第一時間啟動了針對事件及攻擊者的調查 ���;德國��、俄羅斯政府網(wǎng)絡安全機構也作出了類似表態(tài)。相關安全企業(yè)開展技術分析��。
研判分析認為��,目前較為明確的攻擊幕后背景線索主要是從代碼中逆向分析發(fā)現(xiàn)的三個比特幣錢包地址以及五個暗網(wǎng)命令控制服務器�,各國網(wǎng)絡安全與司法調查機構均已鎖定了這些目標,通過各方合作��,將有望從這些線索中盡快發(fā)現(xiàn)攻擊者的實際背景情況��。
四、處置建議
“WannaCry”勒索蠕蟲是勒索軟件類病毒中全球首例使用遠程高危漏洞進行自我傳播的蠕蟲��,加密編程規(guī)范���,如不公開私鑰����,很難通過其他手段對被加密勒索的文件進行解密����,為此建議 :
(一)應急措施
1、立即斷網(wǎng)���,防止擴散和蔓延�。對于已經(jīng)感染“WannaCry”勒索蠕蟲的計算機���,盡快關機����,取出硬盤����,通過專業(yè)數(shù)據(jù)恢復軟件進行恢復�����。立即切斷內外網(wǎng)連接 ����,避免感染網(wǎng)絡中的其他計算機�����。
2����、啟動恢復程序,及時修復補丁�����。若計算機存在備份��,應啟動備份恢復程序���,及時安裝修復補丁。
(二)防范方案
1�����、個人用戶采取應急措施,安裝漏洞修復補丁����。“WannaCry”勒索蠕蟲利用的是微軟官方的SMB漏洞,請個人用戶及時檢查安裝 MS17-010修復補丁�����。與此同時����,及時采取臨時解決方案 ,一是關閉計算機的445端口����,二是配置主機級ACL 策略封堵 445 端口,三是打開“Windows防火墻”���,進入“高級設置 ”����,在入站規(guī)則中禁用 “文件和打印機共享”相關規(guī)則����。
2��、網(wǎng)絡管理員修改網(wǎng)絡配置����,監(jiān)控網(wǎng)絡接口��。建議各網(wǎng)絡管理員在網(wǎng)絡防火墻上配置相關策略����,限制外部對445端口的訪問,加強內網(wǎng)審計�。同時在接入交換機或核心交換機抓包 ,查看是否存在大量掃描內網(wǎng)139��、 135�����、445端口的網(wǎng)絡行為��,及時定位掃描發(fā)起點�����,對掃描設備進行病毒查殺 ��,一旦發(fā)現(xiàn)被感染主機���,立即斷網(wǎng)防止進一步擴散�����。
(三)日常使用規(guī)范
在日常計算機使用過程中����,對重要信息數(shù)據(jù)定期及時進行備份���;瀏覽網(wǎng)頁和使用電子郵件的過程中����,切勿隨意點擊可以鏈接地址���;及時更新操作系統(tǒng)及相關軟件版本�,實時安裝公開發(fā)布的漏洞修復補丁��。
*本文作者CNNVD�����,轉載請注明來自FreeBuf.COM
