2017年5月12日(上周五),勒索軟件變體WannaCrypt惡意軟件(也作WCry、WannaCry或WanaCrypt0r)在全球范圍內爆發(fā),攻擊目標是全球范圍內的電腦,并成功擊垮了全球數十家企業(yè)。攻擊受害者包括中國的大學、俄羅斯聯邦內政部、英國國家醫(yī)療服務系統(tǒng)以及包括聯邦快遞、西班牙電信公司Telefonica和法國汽車制造商Renault等在內的企業(yè)。
Radware ERT研究團隊針對這一持續(xù)肆虐的惡意軟件做了深入研究分析,本文在概述了該惡意軟件的運作方式以及Radware的分析結果。
WannaCry如何運作?
此攻擊是利用最新披露的微軟網絡文件共享SMB協議漏洞進行傳播的。CVE-2017-0144,也就是MS17-010i是微軟于2017年3月14日發(fā)布的安全更新,可以解決這些問題并修復遠程代碼執(zhí)行漏洞。當前的勒索軟件攻擊活動針對的是尚未安裝更新的電腦。
FuzzBunch、DoublePulsar和EternalBlue又是什么?
2017年4月,一個自稱“影子經紀人”的黑客團體泄露了包括FuzzBunch在內的多個開發(fā)工具。FuzzBunch框架內部包含EternalBlue和DoublePulsar等Windows遠程漏洞利用工具。
影子經紀人公布的DoublePulsar SMB是可以分發(fā)惡意軟件、發(fā)送垃圾郵件或發(fā)起攻擊的后門漏洞。EternalBlue是可以影響微軟服務器信息塊(SMB)協議的遠程代碼漏洞。攻擊者還可以利用EternalBlue漏洞獲得未授權訪問權限并將WannaCrypt傳播到網絡中的其他電腦中。
攻擊者似乎也利用Fuzzbunch或Metasploit(類似工具)模塊發(fā)起攻擊。在Github page 中可以找到所有發(fā)起針對擁有已泄露SMB服務的電腦的攻擊需要的漏洞利用、有效負載和掃描儀。
面向Metasploit的MS17-010端口
該惡意軟件可以做什么?
WannaCry的執(zhí)行有幾個步驟:傳播、加密和TOR通信。WannaCry只需獲得一次網絡訪問權限就可以自動傳播到其它終端,因此具有創(chuàng)新性,并且可以同其它勒索活動一樣,針對盡可能多的攻擊目標。
傳播
WannaCry可以掃描電腦的445端口,利用EternalBlue獲取訪問權限,并將WannaCrypt惡意軟件部署到電腦中(利用到了惡意軟件下載器DOUBLEPULSAR)。從這一刻開始,蠕蟲就可以以相同方式掃描附近的電腦,并開始在網絡中橫向移動,將惡意負載轉移到更多終端。
加密
與其他已知勒索軟件(Locky、Cryptowall等)一樣,在任何出站通信之前可以第一時間執(zhí)行加密過程。
通信
TOR通信并不一定非要通過HTTP才可以完成,也不是其它階段的初始先決條件。勒索軟件可以嵌入到TOR客戶端,因此無需執(zhí)行出站通信就可以下載。此過程只用于與C2服務器共享加密密鑰。
WannaCrypt勒索信
擴散
終止了第一個可執(zhí)行文件并檢查kill switch域之后,WannaCrypt還將終止另一個可以掃描IP地址的可執(zhí)行文件,并嘗試通過445/TCP端口中的SMB漏洞連接到這些設備中。如果網絡中存在另一個易受到攻擊的設備,WannaCrypt就會連接到該設備并將惡意負載轉移到設備中。
命令控制服務器
- cwwnhwhlz52ma.onion
- gx7ekbenv2riucmf.onion
- xxlvbrloxvriy2c5.onion
- 57g7spgrzlojinas.onion
- 76jdd2ir2embyv47.onion
比特幣地址
- https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
- https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
- https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
每臺被感染電腦的修復成本(贖金)是300美元,以比特幣支付。被感染三天之后,贖金將增加至600美元。在7天時間到期后,受害者將無法支付贖金,也無法解密文件。攻擊者利用CBC模式的定制AES-128加密被感染電腦中的文件。目前尚未有受害者在支付贖金之后得到解密密鑰的消息。通常勒索攻擊活動都要有個性化的比特幣錢包來確認誰已經支付了贖金。在WannaCrypt攻擊中,攻擊者確認受害者是否支付了贖金的的唯一方法就是通過“聯系我們”按鈕將自己的交易ID發(fā)送給勒索者。
WannaCrypt可以加密的文件類型
Kill Switch
成功感染之后,WannaCrypt就會執(zhí)行可以向硬編碼域發(fā)送HTTP GET請求的文件。這就是killswitch。如果請求成功,WannaCrypt將會退出,并且不會部署,如果請求失敗,WannaCrypt就會繼續(xù)感染網絡中的設備。上周五攻擊活動開始之后,安全研究人員@MalwareTechBlog就注意到了killswitch域尚未注冊。他立即注冊了該域并將請求定向到了口,從而有效地防止了這一惡意軟件變體的進一步傳播。
Kill switches
- ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (@msuiche)
- iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (@MalwareTechBlog)
接下來將會發(fā)生什么?
對人們來說,敲詐勒索并不新鮮,網絡空間更是可以讓其繁榮發(fā)展的沃土。僅過去一年間,勒索攻擊的頻率就增加了一倍,2016年也是勒索成為網絡攻擊主要動機的一年,尤其是在歐洲。2016年,49%的企業(yè)都表示遭受了勒索贖金的勒索軟件感染或DDoS威脅。
隨著惡意軟件的傳播,黑客很可能還會定制惡意軟件,這就可能出現更多變體,就像Mirai僵尸網絡的源代碼在2016年秋季公開之后的情況一樣。Virus Total中的WannaCry變體包括(迄今為止有四個):
預防七步驟
1.安裝微軟MS-17-010安全更新:
- CVE-2017-0143
- CVE-2017-0144
- CVE-2017-0145
- CVE-2017-0146
- CVE-2017-0147
- CVE-2017-0148
2.分段網絡/擁有IP的vlans可以實時生成特征碼。
3.一定要打補丁。
4.禁止直接SMB和終端服務的外部通信或進行安全配置和監(jiān)控。
5.考慮阻斷進行外部通信的445端口。
6.禁用企業(yè)內外的TOR通信。
7.考慮部署零日防護措施/沙盒解決方案。
安裝微軟MS-17-010安全更新
用戶需立即利用包含漏洞補丁的微軟MS-17-010安全更新修復電腦。此漏洞十分嚴重,微軟甚至還為此推出了自2014年以來第一個針對Windows XP的更新。無法進行更新的用戶需禁用可以直接連接的SMBv1。打開Windows features對話框并取消選擇SMB 1.0/CIFS File Sharing Support選項(見圖4)。
圖4
遭受攻擊并需要專家級緊急援助?Radware可以為您提供所需幫助。
Radware提供的服務可以應對安全突發(fā)事件,降低風險并且可以在造成不可挽回的損失之前更好地保護操作安全。如果企業(yè)遭受了DDoS攻擊或惡意軟件爆發(fā),需要緊急援助,可以立即與Radware聯系 。
關于Radware
Radware (NASDAQ:RDWR)是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領導者。Radware屢獲殊榮的解決方案為關鍵業(yè)務應用提供充分的彈性、最大的IT效率和完整的業(yè)務靈敏性。Radware解決方案幫助全球上萬家企業(yè)和運營商快速應對市場挑戰(zhàn),保持業(yè)務的連續(xù)性,在實現最高生產效率的同時有效降低成本。欲知詳情,請訪問:www.radware.com.cn
