信息來源:比特網(wǎng)
當你看到這個界面時,你就已經(jīng)“中招”了。
近日,全球多家組織和機構遭到了嚴重的勒索軟件攻擊,西班牙的Telefonica、英國的國民保健署以及美國的FedEx等組織紛紛中招。發(fā)起這一攻擊的惡意軟件是一種名為“WannaCry”的勒索軟件變種。思科網(wǎng)絡安全專家團隊Talos的專家Martin Lee撰文,從技術角度分析了“WannaCry”勒索軟件的入侵手段和應對措施。
該惡意軟件會掃描電腦上的TCP 445端口,以類似于蠕蟲病毒的方式傳播,攻擊主機并加密主機上存儲的文件,然后要求以比特幣的形式支付“贖金”。
此外,Talos還注意到WannaCry樣本使用了DOUBLEPULSAR,這是一個由來已久的后門程序,通常被用于在以前被感染的系統(tǒng)上訪問和執(zhí)行代碼。這一后門程序允許在系統(tǒng)上安裝和激活惡意軟件等其他軟件。它通常在惡意軟件成功利用SMB漏洞后被植入,后者已在Microsoft安全公告MS17-010中被修復。在Shadow Brokers近期向公眾開放的工具包中,一種攻擊性漏洞利用框架可利用此后門程序。自這一框架被開放以來,安全行業(yè)以及眾多地下黑客論壇已對其進行了廣泛的分析和研究。
WannaCry似乎并不僅僅是利用與這一攻擊框架相關的ETERNALBLUE(永恒之藍)模塊,它還會掃描可訪問的服務器,檢測是否存在DOUBLEPULSAR后門程序。如果發(fā)現(xiàn)有主機被植入了這一后門程序,它會利用現(xiàn)有的后門程序功能,并使用它來通過WannaCry感染系統(tǒng)。如果系統(tǒng)此前未被感染和植入DOUBLEPULSAR,該惡意軟件將使用ETERNALBLUE嘗試利用SMB漏洞。這就造成了近期在互聯(lián)網(wǎng)上出現(xiàn)的大規(guī)模類似蠕蟲病毒的活動。
組織和機構應確保運行Windows操作系統(tǒng)的設備均安裝了全部補丁,并在部署時遵循了最佳實踐。此外,組織和機構還應確保關閉所有外部可訪問的主機上的SMB端口(139和445)。
請注意,針對這一威脅我們當前還處于調(diào)查階段,隨著我們獲知更多信息,或者攻擊者根據(jù)我們的行動作出響應,實際情況將可能發(fā)生變化。Talos將繼續(xù)積極監(jiān)控和分析這一情況,以發(fā)現(xiàn)新的進展并采取相應行動。因此,我們可能會制定出新的規(guī)避辦法,或在稍后調(diào)整和修改現(xiàn)有的規(guī)避辦法。