Radware深度解讀WannaCry勒索攻擊

2021-01-16 IT168

  【IT168 評論】2017年5月12日,勒索軟體變體WannaCrypt惡意軟體(也作WCry、WannaCry或WanaCrypt0r)在全球範圍內爆發,攻擊目標是全球範圍內的電腦,並成功擊垮了全球數十家企業。攻擊受害者包括中國的大學、俄羅斯聯邦內政部、英國國家醫療服務系統以及包括聯邦快遞、西班牙電信公司Telefonica和法國汽車製造商Renault等在內的企業。

  Radware ERT研究團隊針對這一持續肆虐的惡意軟體做了深入研究分析,本文在概述了該惡意軟體的運作方式以及Radware的分析結果。

  WannaCry如何運作?

  此攻擊是利用最新披露的微軟網絡文件共享SMB協議漏洞進行傳播的。CVE-2017-0144,也就是MS17-010i是微軟於2017年3月14日發布的安全更新,可以解決這些問題並修復遠程代碼執行漏洞。當前的勒索軟體攻擊活動針對的是尚未安裝更新的電腦。

  FuzzBunch、DoublePulsar和EternalBlue又是什麼?

  2017年4月,一個自稱「影子經紀人」的黑客團體洩露了包括FuzzBunch在內的多個開發工具。FuzzBunch框架內部包含EternalBlue和DoublePulsar等Windows遠程漏洞利用工具。

  影子經紀人公布的DoublePulsar SMB是可以分發惡意軟體、發送垃圾郵件或發起攻擊的後門漏洞。EternalBlue是可以影響微軟伺服器信息塊(SMB)協議的遠程代碼漏洞。攻擊者還可以利用EternalBlue漏洞獲得未授權訪問權限並將WannaCrypt傳播到網絡中的其他電腦中。

  攻擊者似乎也利用Fuzzbunch或Metasploit(類似工具)模塊發起攻擊。在Github page中可以找到所有發起針對擁有已洩露SMB服務的電腦的攻擊需要的漏洞利用、有效負載和掃描儀。

▲面向Metasploit的MS17-010埠

  該惡意軟體可以做什麼?

  WannaCry的執行有幾個步驟:傳播、加密和TOR通信。WannaCry只需獲得一次網絡訪問權限就可以自動傳播到其它終端,因此具有創新性,並且可以同其它勒索活動一樣,針對儘可能多的攻擊目標。

  傳播

  WannaCry可以掃描電腦的445埠,利用EternalBlue獲取訪問權限,並將WannaCrypt惡意軟體部署到電腦中(利用到了惡意軟體下載器DOUBLEPULSAR)。從這一刻開始,蠕蟲就可以以相同方式掃描附近的電腦,並開始在網絡中橫向移動,將惡意負載轉移到更多終端。

  加密

  與其他已知勒索軟體(Locky、Cryptowall等)一樣,在任何出站通信之前可以第一時間執行加密過程。

  通信

  TOR通信並不一定非要通過HTTP才可以完成,也不是其它階段的初始先決條件。勒索軟體可以嵌入到TOR客戶端,因此無需執行出站通信就可以下載。此過程只用於與C2伺服器共享加密密鑰。


▲WannaCrypt勒索信

  擴散

  終止了第一個可執行文件並檢查kill switch域之後,WannaCrypt還將終止另一個可以掃描IP位址的可執行文件,並嘗試通過445/TCP埠中的SMB漏洞連接到這些設備中。如果網絡中存在另一個易受到攻擊的設備,WannaCrypt就會連接到該設備並將惡意負載轉移到設備中。

  命令控制伺服器

  ◆cwwnhwhlz52ma.onion

  ◆gx7ekbenv2riucmf.onion

  ◆xxlvbrloxvriy2c5.onion

  ◆57g7spgrzlojinas.onion

  ◆76jdd2ir2embyv47.onion

  比特幣地址

  ◆https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

  ◆https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

  ◆https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

  每臺被感染電腦的修復成本(贖金)是300美元,以比特幣支付。被感染三天之後,贖金將增加至600美元。在7天時間到期後,受害者將無法支付贖金,也無法解密文件。攻擊者利用CBC模式的定製AES-128加密被感染電腦中的文件。目前尚未有受害者在支付贖金之後得到解密密鑰的消息。通常勒索攻擊活動都要有個性化的比特幣錢包來確認誰已經支付了贖金。在WannaCrypt攻擊中,攻擊者確認受害者是否支付了贖金的的唯一方法就是通過「聯繫我們」按鈕將自己的交易ID發送給勒索者。

▲WannaCrypt可以加密的文件類型

  Kill Switch

  成功感染之後,WannaCrypt就會執行可以向硬編碼域發送HTTP GET請求的文件。這就是killswitch。如果請求成功,WannaCrypt將會退出,並且不會部署,如果請求失敗,WannaCrypt就會繼續感染網絡中的設備。上周五攻擊活動開始之後,安全研究人員@MalwareTechBlog就注意到了killswitch域尚未註冊。他立即註冊了該域並將請求定向到了口,從而有效地防止了這一惡意軟體變體的進一步傳播。

  Kill switches

  ◆ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (@msuiche)

  ◆iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (@MalwareTechBlog)

  接下來將會發生什麼?

  對人們來說,敲詐勒索並不新鮮,網絡空間更是可以讓其繁榮發展的沃土。僅過去一年間,勒索攻擊的頻率就增加了一倍,2016年也是勒索成為網絡攻擊主要動機的一年,尤其是在歐洲。2016年,49%的企業都表示遭受了勒索贖金的勒索軟體感染或DDoS威脅。

  隨著惡意軟體的傳播,黑客很可能還會定製惡意軟體,這就可能出現更多變體,就像Mirai殭屍網絡的原始碼在2016年秋季公開之後的情況一樣。Virus Total中的WannaCry變體包括(迄今為止有四個):https://www.virustotal.com/en/file/cd7542f2d7f2285ab524a57bc04ae1ad9306a15b9efbf56ea7b002d99d4b974f/analysis/

  預防七步驟

  1. 安裝微軟MS-17-010安全更新:

  ◇CVE-2017-0143

  ◇CVE-2017-0144

  ◇CVE-2017-0145

  ◇CVE-2017-0146

  ◇CVE-2017-0147

  ◇CVE-2017-0148

  2. 分段網絡/擁有IP的vlans可以實時生成特徵碼。

  3. 一定要打補丁。

  4. 禁止直接SMB和終端服務的外部通信或進行安全配置和監控。

  5. 考慮阻斷進行外部通信的445埠。

  6. 禁用企業內外的TOR通信。

  7. 考慮部署零日防護措施/沙盒解決方案。

  安裝微軟MS-17-010安全更新


  用戶需立即利用包含漏洞補丁的微軟MS-17-010安全更新修復電腦。此漏洞十分嚴重,微軟甚至還為此推出了自2014年以來第一個針對Windows XP的更新。無法進行更新的用戶需禁用可以直接連接的SMBv1。打開Windows features對話框並取消選擇SMB 1.0/CIFS File Sharing Support選項。

相關焦點

  • Wannacry(永恆之藍)勒索蠕蟲攻擊全球醫療機構 已影響全球100國家
    5月12日,英國16家醫院同時遭遇Wannacry(永恆之藍)勒索蠕蟲攻擊,導致倫敦、諾丁漢等多地醫院的IT系統癱瘓。隨後,該勒索蠕蟲在全球開始傳播。五個小時內,包括美國、俄羅斯以及整個歐洲在內的100多個國家,以及國內高校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件,對重要數據造成嚴重損失。
  • WannaCry勒索軟體來勢洶洶,席捲全球
    5月12日早些時候,卡巴斯基實驗室產品在全球範圍內成功檢測和攔截了大量勒索軟體攻擊。在這些攻擊中,受害者的數據會被加密,並且在被加密文件上添加「.WCRY」的擴展名。這次攻擊被稱為「WannaCry」攻擊。卡巴斯基實驗室的分析發現,這種攻擊利用微軟Windows系統的一種 SMBv2 遠程代碼執行漏洞進行感染。
  • WannaCry勒索病毒出現變種 取消了Kill Switch
    據國家網絡與信息安全信息通報中心緊急通報:監測發現,在全球範圍內爆發的WannaCry勒索病毒出現了變種,暫命名為「WannaCry 2.0」。  與之前版本不同,這個變種取消了Kill Switch,不能通過註冊某個域名來關閉變種勒索病毒的傳播,因此傳播速度可能會更快。
  • 連載|網絡法典型案例評析——WannaCry勒索病毒事件
    相關連結:勒索軟體簡介勒索軟體( Ransomware),又稱勒索病毒,維基百科將其定義為一種特殊的惡意軟體,被歸類為阻斷訪問式攻擊,與其他病毒最大的不同在於手法。一種勒索軟體單純地將用戶的電腦鎖起來;另一種則系統性加密用戶硬碟上的文件。所有的勒索軟體都會使用戶數據資產或計算資源無法正常使用,要求用戶支付贖金以取回對電腦的控制權,或是取回用戶無從自行獲取的加密密鑰。
  • Precise Security:2019年勒索軟體感染排行榜 WannaCry依然排名榜首
    Precise Security公布的一份新報告顯示,WannaCry在去年勒索軟體感染排行榜當中位居第一。Precise Security稱,超過23.5%的設備最終被勒索軟體鎖定,其中垃圾郵件和網絡釣魚郵件仍然是去年最常見的感染源。
  • 防範勒索軟體攻擊的六個行動
    Gartner的高級分析師Paul Webber說:「在最近的一些勒索軟體攻擊案例中,受害組織向攻擊者支付了巨額贖金,這可能是這種攻擊越來越猖獗的原因之一。相反,如果組織希望減少勒索軟體引起的損失,需要專注於準備和早期應對。」
  • 特斯拉與FBI阻止勒索軟體攻擊
    本周早些時候,聯邦調查局逮捕了一名試圖對美國公司進行勒索軟體攻擊的27歲的俄羅斯公民。據 報導,事實證明這家公司是特斯拉。根據司法部的投訴,7月份,Egor Igorevich Kriuchkov前往美國,並聯繫了在內華達州Sparks 的特斯拉超級工廠工作的講俄語的非美國公民。
  • 勒索病毒WannaCry「想哭」再現2.0版 手機電腦都跑不了
    同樣的攻擊快速蔓延,義大利、俄羅斯相繼被勒索病毒攻擊。再現變種 「想哭」2.0版本面世5月14日,北京市委網信辦、北京市公安局、北京市經信委聯合發出《關於WannaCry 勒索蠕蟲出現變種及處置工作建議的通知》。
  • 在線教育巨頭遭勒索軟體攻擊,為防止洩密向勒索軟體支付贖金
    在線教育巨頭k12inc.在其系統在11月中旬被Ryuk勒索軟體攻擊後支付了贖金。K12為學生創建量身定製的在線學習課程,讓他們在幼兒園到12年級期間在家學習。超過100萬的學生利用K12在家學習,而不是在傳統的公立學校環境。
  • 勒索軟體攻擊美國氣象電視臺 致節目延時
    經爆料,原因是美國氣象電視臺遭到了勒索軟體攻擊,結果導致節目延後一個半小時才開播。  隨後美國氣象電視臺在Twitter上發表聲明,表示該電視臺的網絡遭到惡意軟體攻擊,它們已儘快通過備份機制恢復了直播,而且執法機關也介入了調查。  美國聯邦調查局(FBI)發言人則向外媒透露,此次美國氣象電視臺所說的惡意軟體攻擊,其實就是勒索軟體攻擊。目前FBI正在進行調查。
  • 勒索病毒新變種WannaCry 2.0 究竟長啥樣?怎麼防?
    當天下午,北京市委網信辦、北京市公安局、北京市經信委也聯合發出了《關於WannaCry 勒索蠕蟲出現變種及處置工作建議的通知》,指出了WannaCry 2.0的出現。二、兩個變種:不排除多個團夥利用該方式進行攻擊目前安全機構已經捕獲到了2個變種蠕蟲樣本,我們在此稱之為 變種1號和變種2號。
  • 新變種的 WannaCry 2.0 勒索蠕蟲病毒究竟長啥樣?怎麼防?
    當天下午,北京市委網信辦、北京市公安局、北京市經信委也聯合發出了《關於WannaCry 勒索蠕蟲出現變種及處置工作建議的通知》,指出了 WannaCry 2.0 的出現。那麼,所謂的 WannaCry 2.0 勒索蠕蟲病毒出現了哪些新的特性,進行了那些改造?
  • 比特幣勒索病毒是什麼?電腦中了WNCRY蠕蟲攻擊會怎麼樣?
    《《比特幣勒索病毒漏洞修復補丁及文件修復工具下載地址在本文末。  本輪敲詐者蠕蟲病毒傳播主要包括Onion、WNCRY兩大家族變種,首先在英國、俄羅斯等多個國家爆發,有多家企業、醫療機構的系統中招,損失非常慘重。  安全機構全球監測已經發現目前多達74個國家遭遇本次敲詐者蠕蟲攻擊。
  • 黑客鎖定製造業發動目標式勒索和DDoS攻擊,成為新常態
    利用產業公用系統或平臺的漏洞入侵企業的手法層出不窮,2020年臺灣爆發多起鎖定製造業的攻擊,攻擊手法除了威脅以勒索軟體加密企業的系統和磁碟的目標式勒索攻擊(Target Ransom)外,也有鎖定製造業的目標式DDoS(Target DDoS)攻擊,甚至有傳出黑客發動DDoS攻擊的目的,在於癱瘓製造業的供應鏈平臺,對方可能認為,唯有威脅受害者將遭受到實際損失,受害企業才可能願意支付贖金
  • 新的一年,新型勒索軟體Babuk Locker開始針對大型企業進行攻擊
    Dong說: 雖然Babuk有很多不成熟的攻擊特性,但它也有非常多新穎的技巧,特別是在加密和利用Windows功能方面。Dong在本周的分析中說: Babuk是一種新型的勒索軟體,始於今年年初,儘管採用了很不規範的編碼手法,但其利用橢圓曲線Diffie-Hellman算法的強加密方案,從目前的結果來看,確實是對很多公司的攻擊是有效的。
  • 南寧車管、公安戶籍等部門設備感染勒索病毒,部分業務停辦
    南寧網警發布國家網絡與信息安全信息通報中心緊急通報、「永恆之藍」攻擊緊急處置手冊,告知各部門該如何預防和處置。  據了解,南寧市部分公司的電腦,採用無法啟用自動更新的盜版系統,有的甚至還在用已經淘汰的Windows XP或Windows 2003系統,極易成為勒索病毒攻擊的對象。
  • 全球第二大筆記本代工廠仁寶電腦遭勒索軟體攻擊
    站長之家(ChinaZ.com) 11月10日 消息:上周末,全球第二大筆記本電腦代工廠仁寶電腦(Compal)遭遇勒索軟體攻擊。根據仁寶員工透露的贖金通知的截圖,此次事件被認為是DoppelPaymer」勒索團夥所為。
  • 飛機零部件企業ASCO遭遇勒索病毒,工業網際網路成網絡攻擊重災區
    易到用車遭勒索病毒沒過多久,飛機零件供應商又被坑了。背後的黑客團夥們會心一笑:天上飛的,地上跑的,一個也逃不掉。據外媒報導,最近,世界上最大的飛機零部件供應商之一ASCO遭遇勒索病毒,已造成四個國家的工廠停產。
  • 勒索病毒不只攻擊電腦,主流NAS伺服器也成頭號目標
    IT之家6月15日消息 據360安全衛士官方介紹,近期eCh0raix勒索病毒再度活躍,主要利用QNAP(威聯通)NAS伺服器中的遠程漏洞組合進行傳播,對用戶隱私數據及財產安全造成極大威脅。據官方介紹,該病毒利用早期版本QNAP(威聯通)NAS設備中QTS和Photo Station上的遠程漏洞組合,可成功感染開啟Photo Station後的QNAP(威聯通)NAS設備,並在感染後,獲取NAS系統和文件的訪問權限,加密用戶重要數據,從而完成進一步的勒索。
  • 美國天氣頻道遭勒索軟體攻擊 停止直播1個多小時
    根據《華爾街日報》的報導,The Weather Channel本周四遭遇勒索軟體攻擊,並暫時停止了一個直播節目的播出此次攻擊發生在美國東南部遭遇惡劣天氣襲擊之際,導致這家有線電視頻道癱瘓了一個多小時。聯邦調查局(FBI)表示,這是一次勒索軟體攻擊,該部門正在展開調查。The Weather Channel在Twitter上表示:「在網絡遭到惡意軟體攻擊之後,我們今天上午的直播出現了問題。」該頻道同時表示,已經通過「備份機制」恢復了服務。