安天安全研究与应急处理中心(Antiy CERT)发现,北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。
据BBC报道,今天全球很多地方爆发一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校……
经过安天CERT紧急分析,判定该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。
安天CERT在2017年4月14日发布的《2016年网络安全威胁的回顾与展望》中提到“网络军火”的扩散全面降低攻击者的攻击成本和勒索模式带动的蠕虫的回潮不可避免等观点。结果未满1个月,安天的这种“勒索软件+蠕虫”的传播方式预测即被不幸言中,并迅速进入全球性的感染模式。
安天依托对“勒索软件”的分析和预判,不仅能够有效检测防御目前“勒索软件”的样本和破坏机理,还对后续“勒索软件”可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新家族“wannacry”加密用户磁盘文件。
事件分析
经过安天CERT紧急分析,判定该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。
当系统被该勒索软件入侵后,弹出勒索对话框:
图1 勒索界面
加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。
图 2 加密后的文件名
攻击者极其嚣张,号称“除攻击者外,就算老天爷来了也不能恢复这些文档” (该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,“点击 按钮,就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示,“3天内付款正常,三天后翻倍,一周后不提供恢复”)。现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。
图3 可解密数个文件
该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。
图4 28种语言
该勒索软件会将自身复制到每个文件夹下,并重命名为“@[email protected]”。同时衍生大量语言配置等文件:
图5 衍生文件
该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头:
图6 加密文件
加密如下后缀名的文件:
PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG
注:该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。
图7
临时解决方案 -开启系统防火墙 -利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务) -打开系统自动更新,并检测更新进行安装
Win7、Win8、Win10的处理流程
1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
图8
2、选择启动防火墙,并点击确定
图9
3、点击高级设置
图10
4、点击入站规则,新建规则
图11
5、选择端口,下一步
图12
6、特定本地端口,输入445,下一步
图13
7、选择阻止连接,下一步
图14
8、配置文件,全选,下一步
图15
9、名称,可以任意输入,完成即可。
图16
3.2 XP系统的处理流程
1、依次打开控制面板,安全中心,Windows防火墙,选择启用
图17
2、点击开始,运行,输入cmd,确定执行下面三条命令
net stop rdr
net stop srv
net stop netbt
3、由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。
安天的有效应对策略建议安天CERT曾发布多篇勒索软件报告[2]:
《揭开勒索软件的真面目》
《"攻击WPS样本"实为敲诈者》
《邮件发送js脚本传播敲诈者木马的分析报告》
《首例具有中文提示的比特币勒索软件"LOCKY"》
《多起利用POWERSHELL传播恶意代码的事件分析》
《勒索软件简史》
安天CERT曾在2004年绘制了当时的主流蠕虫与传播入口示意图,该图曾被多位研究者引用。可以肯定的是,尽管其中很多方式在DEP和ASLR等安全强化措施下已经失效,但存在问题的老版本系统依然存在。勒索模式带动的蠕虫回潮不可避免,同时利用现有僵尸网络分发,针对新兴IoT场景漏洞传播和制造危害等问题都会广泛出现。而从已经发生的事件来看,被敲诈者不仅包括最终用户,而且在大规模用户被绑架后,厂商也遭到敲诈。
图18 蠕虫时代的传播入口到勒索软件的传播入口
图19 需要警惕的勒索软件入口
勒索软件给国内政企网络安全也带来了新的挑战。在较长时间内,国内部分政企机构把安全的重心放在类似网站是否被篡改或DDoS等比较容易被感知和发现的安全事件上,但对网络内部的窃密威胁和资产侵害则往往不够重视,对恶意代码治理更投入不足。因为多数恶意代码感染事件难以被直观地发现,但“敲诈者”以端点为侵害目标,其威胁后果则粗暴可见。同时,对于类似威胁,仅仅依靠网络拦截是不够的,必须强化端点的最后一道防线,必须强调终端防御的有效回归。安天智甲终端防御系统研发团队依托团队对“敲诈者”的分析和预判,依托安天反病毒引擎和主动防御内核,完善了多点布防,包括文档访问的进程白名单、批量文件篡改行为监控、诱饵文件和快速文件锁定等。经过这些功能的强化,安天不仅能够有效检测防御目前“敲诈者”的样本,并能够分析其破坏机理,还对后续“敲诈者”可能使用的技巧进行了布防。除了PC端的防护产品,安天AVL TEAM对Android平台的反勒索技术做了很多前瞻性的研究工作,并应用于安天移动反病毒引擎中。安天能在网络流量测使用探海威胁检测系统检测勒索软件的传播。
金钱夜未眠,在巨大的经济利益驱使下,未来勒索软件的传播途径和破坏方式也会变得愈加复杂和难以防范。作为安天智甲的开发者,我们期望帮助更多用户防患于未然。
5完善内网纵深防御体系和能力势在必行从NSA网路军火泄露ETERNALBLUE漏洞利用工具,到本次利用相关漏洞传播的勒索软件全球爆发,安天在本年度首次启动了A级风险预警到大规模安全风险应急。
这是自心脏出血、破壳和mirai之后,安天又一次启动A级风险应急,并为本次事件逐步从A级安全风险提升到大规模A级安全灾难。
在过去几年间,类似“红色代码”、“震荡波”、“冲击波”等大规模蠕虫感染带来的网络拥塞,系统大面积异常等事件日趋减少。而对基于PC节点的大规模僵尸网络的关注也开始不断下降,类似Mirai等IoT僵尸网络开始成为注意力的焦点。这使传统IT网络开始陷入一种假想的“平静”当中。由于Windows自身在DEP、ASLR等方面的改善, 使一击必杀的系统漏洞确实在日趋减少,主流的攻击面也开始向应用开始转移。在这种表面上的平静之中,以窃密、预制为目的的APT攻击,则由于其是高度隐秘的、难以为IT资产的管理者感知到的攻击,始终未能得到足够的重视。而黑产犯罪的长尾化,针对性的特点,也使其并不依赖极为庞大的受害人群分布,即可获得稳定的黑色收益。因此在过去几年,内网安全风险是围绕高度隐蔽性和定向性展开的,这种风险难以感知的特点,导致内网安全未得到有效的投入和重视。也为导致今天的大规模安全灾难形成了必然基础。勒索软件的一大特点,是其威胁后果是直接可见的。这种极为惨烈的损失,昭示了内网安全的欠账。也说明我们长期在简单的边界防护、物理隔离和内部的好人假定的基础上经营出安全图景,是一种“眼不见为净”式的自欺,无法通过攻击者的检验。
当前,我国在内网安全体系上的能力缺陷,一方面是安全产品未能得到全面部署和有效使用,另一方面则首先是其规划建设中没有落实“三同步”的原则,缺少基础的安全架构和。安天、360等能力型安全厂商共同认同的滑动标尺模型,认为安全能力可以划分成架构安全、被动防御、积极防御、威胁情报等层次。各层次构成一个有机的整体,网络安全规划以基础的安全架构和可靠的被动防御手段为基础,叠加有效的积极防御和威胁情报手段。如果没有架构安全和被动防御的基础支撑,那么上层能力难以有效发挥;如果没有积极防御和威胁情报的有效引入,仅靠基础措施也无法有效的对抗深度的威胁。每个安全层次解决不同的问题,有不同的价值。相对更低的层次付出的成本更低,但解决的问题更基础广泛。从网络安全投入上看,越是网络初期越要打好底层的工作,而越是保障高等级的资产,就需要在积极防御和威胁层面做出投入延展。
作者:佚名
来源:51CTO