一、背景
北京时间 2017 年 5 月 12 日全球爆发大规模勒索软件攻击,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久NSA被泄漏出来的MS17- 010 漏洞。在NSA泄漏的文件中,WannaCry传播方式的漏洞利用代码被称为“EternalBlue”,所以也有的报道称此次攻击为“永恒之蓝”,漏洞软件名称为“Wannacry”,攻击者利用该漏洞,向用户机器的 445 端口发送精心设计的网络数据包文,实现远程代码执行。
据知道创宇 404 安全实验室分析确认,这一新型蠕虫勒索病毒正是利用了 4 月 14 日影子经纪人曝光的美国国家安全局使用的网络攻击工具,不明黑客组织利用改良后的 SMB远程命令执行工具实施感染。虽然微软已经推出相关修复补丁(MS17-101),但仍有大量主机特别是内网主机并未完成补丁升级,造成了这些新型蠕虫勒索病毒的不断扩散。
二、事件分析
2017 年 4 月 14 日黑客组织 Shadow Brokers(影子经纪人)公布Equation Group(方程式组织)的文件中首次出现MS17- 010 漏洞,该漏洞是利用Windows的 445 端口的SMB服务进行攻击,该漏洞级别属于高危(远程溢出漏洞)。
2017 年 5 月 12 日爆发针对此漏洞的大规模勒索软件”Wanacry”,该勒索软件截图如下:
勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:Ncry@2ol7 解密并释放文件。该勒索软件会将系统内所有软件进行加密,需要用户缴纳不低于 300 美元的比特币才能解密。
这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。勒索软件会将系统中的所有照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件进行加密,且被加密的文件后缀名被统一修改为“.WNCRY”。
三、临时解决方案
● 开启系统防火墙
● 利用系统防火墙高级设置阻止向 445 端口进行连接(该操作会影响使用445 端口的服务)
● 打开系统自动更新,并检测更新进行安装
有话提前说:
本次勒索软件爆发的时间点刚好处于我国周末,如发生在工作日期间,其蔓延速度恐怕会更加恐怖,所以对于网络运维人员来讲,周一(明天)最重要的工作就是对网络范围内的所有主机进行妥善的检测与修复工作。
做到以下几点会对你非常有帮助:
● 检测与修复之前有必要做全面断网处理;如对外主机不确定是否已经感染,内网主机应做脱离工作。
● 事先做好重要数据的备份工作。
(一) 针对win7、win8、win10 操作步骤
1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙。
选择启用防火墙
2、过滤 445 端口
(1)选择高级设置
(2)选择入站规则
(3)选择右边的新建规则
(4)选择端口
(5)选择TCP协议,本地特定端口445
(6)选择阻止连接
(7)选择所有规则
(8)名称随便填写,然后选择启用
(二)针对XP系统
1、打开防火墙
依次打开控制面板-Windows防火墙,选择启用防火墙
2、关闭smb服务
依次点击开始-运行-输入cmd,然后依次输入以下几条命令
net stop rdr
net stop srv
net stop netbt
(三)通用解决方案
微软官方补丁地址:https://support.microsoft.com/zh-cn/help/4012598/title(优先在线更新,如暂停支持请与支持列表中手动下载更新)
重要:在线更新需确认已经实施 445 端口过滤,手动更新请与安全网络环境下下载更新包,主机断网后执行更新补丁)
四、检测方案
建议采用知道创宇自研发的雷达系统和云图大数据威胁系统进行该漏洞的扫描探测和勒索软件的探测服务。
(一)资源漏洞扫描服务
知道创宇“雷达“产品是一个检索网络空间节点的搜索引擎。通过后端的分布式爬虫引擎对全球节点的分析,对每个节点的所拥有的特征进行判别,从而获得设备类型、固件版本、分布地点、开放端口服务等信息。
借助后台强大的搜索引擎和设备指纹技术,资源测绘服务能够达到B类网段 800 秒的急速探测。并依靠 3 万余种资源和 15 万个版本信息的匹配,达到对现有几乎所有资源的精准识别。
同时通过“雷达“与知道创宇Seebug漏洞库的联动,可以实现漏洞预警能力。Seebug漏洞库会将最新漏洞推送到预警服务中,由预警服务向用户报警,用户也可通过Seebug获得漏洞细节,并及时对该漏洞进行修补和防护。
(二)云图检测系统
同时还可以通过知道创宇云图态势感知系统进行分析检测,该系统采用机器学习及全面沙箱分析与入侵指标(IOC)确认技术,通过BDE行为检测引擎及SDE规则检测引擎实时分析网络流量,可深度监控链接所有可疑活动。
云图拥有以下几大功能:
云图最终通过在沙箱(Sandbox)中运行(行为激活/内容“引爆”)各种文件和内容的功能,并观察虚拟机中的一些入侵指标,识别出未知威胁,以便进一步采取相关措施,能够极速探测出用户资产中是否存在该勒索病毒或其它APT攻击。
云图检测出该勒索软件的截图如下:
(三)漏洞检测工具自检
针对 MS17-010 漏洞,知道创宇 404 安全团队现对外公布了相关的漏洞检测工具,安全运维人员可自行下载使用。
漏洞检测工具下载地址:https://paper.seebug.org/papers/Archive/ms17-010.exe
该检测工具可由网络管理人员于cmd中执行检测目标ip主机是否受MS17-010 漏洞影响,Win7 系统可直接下载执行文件进行检测,其它版本系统如不能正常检测,请自行安装 Python 运行环境。
附. Windows 环境下 Python安装教程:
首先,从Python的官方网站python.org下载最新的2. 7 版本,网速慢的同学请移步国内镜像。
下载地址为:https://www.python.org/
然后,运行下载的MSI安装包,在选择安装组件的一步时,勾上所有的组件:
特别要注意选上pip和Add python.exe to Path,然后一路点“Next”即可完成安装。
(推广)