此外,我們還看到了一個(gè)新的WannaCry的變種,該變種并不利用原來(lái)的“killswitch”開(kāi)關(guān)。研究人員現在懷疑這個(gè)機制其實(shí)是嘗試繞開(kāi)部分自動(dòng)對GET請求進(jìn)行應答的動(dòng)態(tài)分析引擎,從而避免被探測到。
原始說(shuō)明:
一個(gè)名為Wanna,WannaCry或Wcr的自我復制的勒索軟件正在對世界各地的計算機進(jìn)行破壞。最初的信息顯示:在大部分公司的最初擴散是通過(guò)傳統方法,主要是Necurs僵尸網(wǎng)絡(luò )出來(lái)的郵件和PDF文件。WannaCry的特殊性在于它能夠從首例病患開(kāi)始,在啟用了SMBv1的網(wǎng)絡(luò )里迅速地擴散。
這個(gè)SMBv1的不須認證的遠程代碼執行(Remote-Code-Execution)工具在2017年4月14日由“影子經(jīng)紀人”組織公開(kāi)。它被非正式地稱(chēng)為“永恒之藍”,并且微軟主動(dòng)地在3月14 日的安全公告MS17-010里面提到。
看看下面這個(gè)公開(kāi)的“永恒之藍”的例子,讓我們了解為何該勒索軟件可以高效傳播;它完全不需要攻擊者的任何操作,就可以在一個(gè)脆弱的公司里傳播。
微軟主動(dòng)發(fā)布了對應補丁(MS17-010)后,許多用戶(hù)仍然沒(méi)有部署該補丁。
盡管該勒索軟件很讓人擔心,采用了Juniper的安全解決方案的客戶(hù)可以相對更放心一些,他們的環(huán)境是受到保護的。下面,我們回顧一下WannaCry的特征,以及現有的可以防止它爆發(fā)的工具。
首先,已經(jīng)部署了我們先進(jìn)的SkyATP的云端惡意軟件防護解決方案的客戶(hù)非常可能已經(jīng)在多個(gè)層次上得到了防護:
- 通過(guò)SkyATP的安全智能信息推送更新,用戶(hù)和Necurs僵尸網(wǎng)絡(luò )的通信自動(dòng)被截斷;向內部的訪(fǎng)問(wèn)可以被Juniper的SRX防火墻丟棄;
- 如果沒(méi)有用到上面的基于網(wǎng)的安全信息推送更新的防護,SkyATP的防惡意軟件功能可以通過(guò)其強壯的多段檢測管道(包括基于特征庫的檢測,機器學(xué)習的靜態(tài)分析,和基于沙盒的誘騙動(dòng)態(tài)分析機制)識別WannaCry。到現在(5月12日)為止,我們分析了24個(gè)獨立的案例,在30秒內全部被識別和抓到;
- 基于以上的實(shí)現機制,假設即使SkyATP沒(méi)有阻擋該文件的初次下載,SkyATP的機制是一旦識別到該文件是惡意的,就可以將此信息傳遞到各個(gè)企業(yè)的SRX設備,從而在網(wǎng)絡(luò )層面隔離該惡意軟件。
SkyATP識別到的WannaCry勒索軟件(上圖)
SkyATP里面對WannaCry的行為分析(上圖)
部署了Juniper 安全分析解決方案(JSA)的客戶(hù)也可以更好地防護各種勒索軟件。在這個(gè)WannaCry的例子里面,SIEM會(huì )基于異常檢測技術(shù)(特別是點(diǎn)對點(diǎn)的SMB和文件生成行為)生成多個(gè)事件和受攻擊信息。
下面以Windows 7的設備為例,說(shuō)明如何識別勒索軟件攻擊里用到的異常的寫(xiě)文件的動(dòng)作:
當一個(gè)設備開(kāi)始寫(xiě)大量的文件(對整個(gè)文件系統進(jìn)行加密)時(shí),對一個(gè)SIEM來(lái)說(shuō)是比較容易識別的事件。Juniper的SIEM的特別之處在于:Juniper可以將該威脅信息發(fā)布到我們的軟件定義的安全網(wǎng)絡(luò )(SDSN)解決方案里面,從而在幾秒鐘內隔離受到影響的主機。
對于Juniper IDP入侵防御和防火墻SRX的客戶(hù)而言,MS17-010在多個(gè)CVE和對應的特征庫得到了覆蓋。請確認以下的IDP特征更新并且啟用:
|
SMB:CVE-2017-0145-RCE |
SMB: Microsoft Windows CVE-2017-0145 Remote Code Execution |
|
SMB:CVE-2017-0146-OOB |
SMB: Microsoft Windows SMB Server CVE-2017-0146 Out Of Bounds Write |
|
SMB:CVE-2017-0147-ID |
SMB: Microsoft Windows SMB Server CVE-2017-0147 Information Disclosure |
|
SMB:CVE-2017-0148-RCE |
SMB: Microsoft Windows CVE-2017-0148 Remote Code Execution |
|
SMB:ERROR:MAL-MSG |
SMB: Malformed Message |
Juniper的軟件定義的安全網(wǎng)絡(luò )(SDSN)的架構如下,通過(guò)SDSN的部署,Juniper EX/QFX交換機和SRX防火墻都能成為策略的執行者,云端識別和策略推送,可以很快地實(shí)施連接到交換機端口的主機訪(fǎng)問(wèn)隔離控制和防火墻的安全策略,從而最快地隔離受影響的主機,避免攻擊擴散。
WannaCry的詳細分析:
雖然到不同目標的傳遞機制有異,許多報文顯示包括了母文件(通常是PDF)嵌入了些可移植的執行文件(PE)。在我們的例子里面,打開(kāi)這些PE文件后,可以看到“WNcry@2o17”字樣的密碼,讓你可以打開(kāi)一個(gè)嵌入的zip文件:
如果你解壓這個(gè)zip文件,你就會(huì )看到一個(gè)多種文字的txt的勒索信息:
zip文件里面的多種文字的勒索信息(上圖)
內嵌的tasksche.exe文件的功能是探測連在目標機器上的所有的邏輯硬盤(pán):
反匯編的tasksche.exe文件(上圖)
執行了惡意文件后,該文件用“永恒之藍”通過(guò)SMBv1(TCP 445)對外連接,當該軟件開(kāi)始加密本地硬盤(pán)時(shí),用戶(hù)得到了以下界面,文件被加密,彈出勒索界面:
除了對Windows系統打補丁這一必須的安全防護操作之外。還可以依據本病毒的傳播原理進(jìn)行一些網(wǎng)絡(luò )層面的防護。WannaCry通過(guò)兩類(lèi)掃描尋找可以被感染的主機:
- 隨機生成的Internet地址,一旦可以感染,將持續掃描該地址所屬的Type C網(wǎng)段
- 掃描本機所屬的局域網(wǎng)。
對于類(lèi)型1的掃描,邊界防護-邊界路由器、防火墻的ACL可以進(jìn)行阻擋。但實(shí)際上,由于網(wǎng)絡(luò )邊界通常都不開(kāi)放445端口對內網(wǎng)的映射,因此這類(lèi)防護只可以保護直接暴露于Internet的主機,比如通過(guò)BBE連接的個(gè)人用戶(hù)或DMZ中的主機。
對于類(lèi)型2的掃描,邊界防護的作用非常有限。還需要在內網(wǎng)接口進(jìn)行進(jìn)一步的防護。
基于Juniper的網(wǎng)絡(luò )和安全設備的防護方法建議如下:
一、Juniper防火墻設備:
- 采用防火墻策略,阻止目的端口的445(135/137/138/139的類(lèi)似)訪(fǎng)問(wèn);
- 更新IDP的入侵防御特征庫并部署特征匹配;
- 采用Sky ATP的防御機制;
- 結合軟件定義的安全網(wǎng)絡(luò )解決方案(SDSN)實(shí)施整體防護。
二、Juniper路由設備:
1、定義filter,阻止445端口(135/137/138/139的類(lèi)似,在discard的term里面加入即可)
set firewall family inet filterDENY_WANNACRY term deny_wannacry from destination-port 445
##set firewall family inet filterDENY_WANNACRY term deny_wannacry from destination-port 135-139)##
set firewall family inet filterDENY_WANNACRY term deny_wannacry then discard
set firewall family inet filterDENY_WANNACRY term default then accept
2、在forwarding-options下應用
set forwarding-options family inet filter input DENY_WANNACRY
三、Juniper交換設備:
采用group方式在接口上批量應用filter(有大量業(yè)務(wù)接口時(shí)使用這種方法可節省工作量)
1、定義groupIFS_DENY_WANNACRY:所有g(shù)e接口的所有子接口入方向應用filter DENY_WANNACRY
set groups IFS_DENY_WANNACRY interfaces <ge-*> unit <*> familyethernet-switching filter input DENY_WANNACRY
(注:有使用到其他接口類(lèi)型,使用上述配置方法增加)
2、定義filterDENY_WANNACRY, 阻止445端口(135/137/138/139的類(lèi)似)
set firewall family ethernet-switchingfilter DENY_WANNACRY term deny_wannacry from destination-port 445
##setfirewall family ethernet-switching filter DENY_WANNACRY term deny_wannacry fromdestination-port 135-139##
set firewall family ethernet-switchingfilter DENY_WANNACRY term deny_wannacry then discard
set firewall family ethernet-switchingfilter DENY_WANNACRY term default then accept
3、應用group配置
set apply-groups IFS_DENY_WANNACRY
注意事項:
1) 如果接口下已有filter配置,這個(gè)接口下的group配置不會(huì )生效,要在接口已有filter配置下修改;
2) filter最后一個(gè)term要放行其他所有流量,否則會(huì )影響業(yè)務(wù)。
特別感謝Asher Langton, Peter Gael, Laurence Pitt, 和 Lee Fisher對這篇快速響應文檔的幫助:
