一、背景
北京時間2017年5月12日全球爆發(fā)大規(guī)模勒索軟件攻擊,勒索病毒結(jié)合了蠕蟲的方式進(jìn)行傳播,傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的文件中,WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”,所以也有的報道稱此次攻擊為“永恒之藍(lán)”,漏洞軟件名稱為“Wannacry”,攻擊者利用該漏洞,向用戶機(jī)器的445端口發(fā)送精心設(shè)計的包文,實現(xiàn)遠(yuǎn)程代碼執(zhí)行。
據(jù)知道創(chuàng)宇404實驗室分析確認(rèn),這一新型蠕蟲勒索病毒正是利用了4月14日影子經(jīng)紀(jì)人曝光的美國國家安全局使用的網(wǎng)絡(luò)攻擊工具,不明黑客組織利用改良后的 SMB遠(yuǎn)程命令執(zhí)行工具實施感染。雖然微軟已經(jīng)推出相關(guān)修復(fù)補(bǔ)丁(MS17-101),但仍有大量主機(jī)特別是內(nèi)網(wǎng)主機(jī)并未完成補(bǔ)丁升級,造成了這些新型蠕蟲勒索病毒的不斷擴(kuò)散。
二、事件分析
2017年4月14日黑客組織 Shadow Brokers(影子經(jīng)紀(jì)人)公布Equation Group(方程式組織)的文件中首次出現(xiàn)MS17-010漏洞,該漏洞是利用Windows的445端口的SMB服務(wù)進(jìn)行攻擊,該漏洞級別屬于高危(遠(yuǎn)程溢出漏洞)。
2017年5月12日爆發(fā)針對此漏洞的大規(guī)模勒索軟件”Wanacry”,該勒索軟件截圖如下:
勒索病毒被漏洞遠(yuǎn)程執(zhí)行后,會從資源文件夾下釋放一個壓縮包,此壓縮包會在內(nèi)存中通過密碼:Ncry@2ol7 解密并釋放文件。該勒索軟件會將系統(tǒng)內(nèi)所有軟件進(jìn)行加密,需要用戶繳納不低于300美元的比特幣才能解密。
這些文件包含了后續(xù)彈出勒索框的exe,桌面背景圖片的bmp,包含各國語言的勒索字體,還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄,并設(shè)置為隱藏。勒索軟件會將系統(tǒng)中的所有照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件進(jìn)行加密,且被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。
三、臨時解決方案
● 開啟系統(tǒng)防火墻
● 利用系統(tǒng)防火墻高級設(shè)置阻止向 445 端口進(jìn)行連接(該操作會影響使用445 端口的服務(wù))
● 打開系統(tǒng)自動更新,并檢測更新進(jìn)行安裝
有話提前說:
本次勒索軟件爆發(fā)的時間點剛好處于我國周末,如發(fā)生在工作日期間,其蔓延速度恐怕會更加恐怖,所以對于網(wǎng)絡(luò)運維人員來講,周一(明天)最重要的工作就是對網(wǎng)絡(luò)范圍內(nèi)的所有主機(jī)進(jìn)行妥善的檢測與修復(fù)工作。
做到以下幾點會對你非常有幫助:
● 檢測與修復(fù)之前有必要做全面斷網(wǎng)處理;如對外主機(jī)不確定是否已經(jīng)感染,內(nèi)網(wǎng)主機(jī)應(yīng)做脫離工作。
● 事先做好重要數(shù)據(jù)的備份工作。
(一) 針對win7、win8、win10操作步驟
1、打開控制面板-系統(tǒng)與安全-Windows防火墻,點擊左側(cè)啟動或關(guān)閉Windows防火墻。
選擇啟用防火墻
2、過濾445端口
(1)選擇高級設(shè)置
(2)選擇入站規(guī)則
(3)選擇右邊的新建規(guī)則
(4)選擇端口
(5)選擇TCP協(xié)議,本地特定端口445
(6)選擇阻止連接
(7)選擇所有規(guī)則
(8)名稱隨便填寫,然后選擇啟用
(二)針對XP系統(tǒng)
1、打開防火墻
依次打開控制面板-Windows防火墻,選擇啟用防火墻
2、關(guān)閉smb服務(wù)
依次點擊開始-運行-輸入cmd,然后依次輸入以下幾條命令
net stop rdr
net stop srv
net stop netbt
(三)通用解決方案
微軟官方補(bǔ)丁地址:(優(yōu)先在線更新,如暫停支持請與支持列表中手動下載更新)
重要:在線更新需確認(rèn)已經(jīng)實施445端口過濾,手動更新請與安全網(wǎng)絡(luò)環(huán)境下下載更新包,主機(jī)斷網(wǎng)后執(zhí)行更新補(bǔ)丁)
四、檢測方案
建議采用知道創(chuàng)宇自研發(fā)的雷達(dá)系統(tǒng)和云圖大數(shù)據(jù)威脅系統(tǒng)進(jìn)行該漏洞的掃描探測和勒索軟件的探測服務(wù)。
(一)資源漏洞掃描服務(wù)
知道創(chuàng)宇“雷達(dá)“產(chǎn)品是一個檢索網(wǎng)絡(luò)空間節(jié)點的搜索引擎。通過后端的分布式爬蟲引擎對全球節(jié)點的分析,對每個節(jié)點的所擁有的特征進(jìn)行判別,從而獲得設(shè)備類型、固件版本、分布地點、開放端口服務(wù)等。
借助后臺強(qiáng)大的搜索引擎和設(shè)備指紋技術(shù),資源測繪服務(wù)能夠達(dá)到B類網(wǎng)段800秒的急速探測。并依靠3萬余種資源和15萬個版本信息的匹配,達(dá)到對現(xiàn)有幾乎所有資源的精準(zhǔn)識別。
同時通過“雷達(dá)“與知道創(chuàng)宇Seebug漏洞庫的聯(lián)動,可以實現(xiàn)漏洞預(yù)警能力。Seebug漏洞庫會將最新漏洞推送到預(yù)警服務(wù)中,由預(yù)警服務(wù)向用戶報警,用戶也可通過Seebug獲得漏洞細(xì)節(jié),并及時對該漏洞進(jìn)行修補(bǔ)和防護(hù)。
(二)云圖檢測系統(tǒng)
同時還可以通過知道創(chuàng)宇云圖態(tài)勢感知系統(tǒng)進(jìn)行分析檢測,該系統(tǒng)采用機(jī)器學(xué)習(xí)及全面沙箱分析與入侵指標(biāo)(IOC)確認(rèn)技術(shù),通過BDE行為檢測引擎及SDE規(guī)則檢測引擎實時分析網(wǎng)絡(luò)流量,可深度監(jiān)控鏈接所有可疑活動。
云圖擁有以下幾大功能:
云圖最終通過在沙箱(Sandbox)中運行(行為激活/內(nèi)容“引爆”)各種文件和內(nèi)容的功能,并觀察虛擬機(jī)中的一些入侵指標(biāo),識別出未知威脅,以便進(jìn)一步采取相關(guān)措施,能夠極速探測出用戶資產(chǎn)中是否存在該勒索病毒或其它APT攻擊。
云圖檢測出該勒索軟件的截圖如下:
(三)漏洞檢測工具自檢
針對 MS17-010 漏洞,知道創(chuàng)宇404安全團(tuán)隊現(xiàn)對外公布了相關(guān)的漏洞檢測工具,安全運維人員可自行下載使用。
漏洞檢測工具下載地址:
該檢測工具可由網(wǎng)絡(luò)管理人員于cmd中執(zhí)行檢測目標(biāo)ip主機(jī)是否受MS17-010 漏洞影響,Win7系統(tǒng)可直接下載執(zhí)行文件進(jìn)行檢測,其它版本系統(tǒng)如不能正常檢測,請自行安裝 Python 運行環(huán)境。
附. Windows 環(huán)境下 Python安裝教程:
首先,從Python的官方網(wǎng)站python.org下載最新的2.7版本,網(wǎng)速慢的同學(xué)請移步國內(nèi)鏡像。
下載地址為:
然后,運行下載的MSI安裝包,在選擇安裝組件的一步時,勾上所有的組件:
特別要注意選上pip和Add python.exe to Path,然后一路點“Next”即可完成安裝。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!