2017年 5月 12日星期五,整个世界震惊地发现,网络犯罪又创造了一项新的记录。此次勒索软件攻击爆发不到 48小时,就有超过 100个国家和地区的企业中招。据信,恶意软件 WannaCry/WanaCrypt0r 2.0的发布者发起了一场有史以来最大规模的攻击。
此次勒索软件袭击为我们敲响了安全基础的警钟,尤其是在微软产品补丁方面。更新了今年 3月发布的微软 Windows 补丁的用户,都躲过了这次攻击。对最新数据进行离线备份也是基本保护措施之一。面对这样的勒索软件攻击,如果您进行了有效备份,就能成功地响应事件,让攻击者的企图落空,使他们无法从这种邪恶的行为中获利。

什么是 WannaCry?

WannaCry(又称为 WanaCrypt 或 Wcry for short)的攻击原理与其他此类恶意软件类似,我们只能从它的复杂攻击模式看出攻击者的特征。
首先,该恶意软件所使用的漏洞攻击工具是一个名为“ShadowBrokers”的组织所流出的黑客工具。这些流出的漏洞攻击工具催生出许多恶意攻击者,他们利用这些工具来达到自己的不法企图,此次事件就是一个例子。
其次,该恶意软件采用了一种非常强大的非对称加密方式,用 2048位 RSA 密码对文件进行加密。与对称加密方式相比,这种方法速度相对较慢,但是非常强大,几乎无法被破解。
然后,该勒索软件采用模块化架构;这是合法软件的特点之一,但是复杂的恶意软件项目(如银行木马病毒)也会采用这种架构。大多数勒索软件都没有模块化架构。相反,它们非常简单,不需要任何模块化就能执行任务。这意味着,Wcry 可能是由一群人而非一个人编写的,甚至背后可能有一个发布恶意软件(如 Dridex 和 Locky)的有组织的网络犯罪团伙在谋划。
总而言之,我们的对手不是菜鸟。此次攻击肆虐全球,造成了非常严重的后果。尽管攻击者利用的漏洞已经在早些时候被修复,但是很多企业已经中招,并且数字仍在上升。

深度解读基本技术

2017年 5月 12日,Wcry 病毒开始传播。但是事实上,该病毒依赖的一些元素出现已经有一段时间,一周之前秘鲁爆发的 Trojan.Win32.CryptoFF 攻击即为一次预演。

通过 SMB 以蠕虫病毒方式传播

Wcry 的传播方式包括通过 TCP 端口 445对主机进行扫描,Server Message Block (SMB) 网络通信协议使用的就是这个端口。Wcry 瞄准这个应用层协议,以类似蠕虫病毒的方式传播。SMB 作用是支持对其他资源中共享目录、文件、打印机和串行端口的访问。
为了找到进入新终端设备和网络的途径,Wcry 恶意软件利用了 ShadowBrokers 披露的两个 SMB 漏洞攻击工具。首先,它会利用现有的 DoublePulsar 后门程序感染系统。如果系统此前未被植入该后门程序,该恶意软件将使用 EternalBlue 对目标发起新的攻击。

“敲响” DoublePulsar 后门程序

名为 “DoublePulsar” 的后门是一个已知的持久性后门程序,终端设备被感染后,将为攻击者提供未经授权的访问权限。这种内核模式的有效负载不会有太大的“动作”,但是却是其他漏洞攻击工具的基础所在。远程攻击者可以利用该后门向目标机器植入恶意程序,不需要得到机器所有者的信息或许可。
DoublePulsar 之所以能够植入后门,在用户模式处理区任意注入 DLL,就是因为它利用了 SMB 协议的漏洞。据说,这是 2017年 4月 ShadowBrokers 流出的一个美国国家安全局 (NSA) 工具。泄露后两周,DoublePulsar 就在全球感染了超过 36,000个终端设备。

令人沮丧的恶意代码:EternalBlue 和 WannaCry

EternalBlue 与 DoublePulsar 同属于一个漏洞攻击工具框架。在 Wcry 攻击中,该恶意软件会利用 EternalBlue 扫描服务器是否植入了 DoublePulsar,如果没有,它将使用 EternalBlue 作为初始漏洞感染系统,然后安装 Wcry 勒索软件。
该恶意软件会扫描局域网,然后看似随意地利用漏洞代码攻击外部 IP。

未知的访客

一旦进入系统,Wcry 勒索软件就会落地生根,在感染病毒的机器上生成一个 Tor 客户端,与攻击者的服务器进行匿名通信。从 2014年起,CTB-Locker(又名 Critroni)等勒索软件变种使得这种攻击趋势在勒索软件攻击者之间大为流行。总的来说,使用 Tor 能帮助罪犯掩盖自己的攻击基础架构,防止受害者终端设备发出的加密密钥或比特币支付确认被拦截。

初始加密

该恶意软件会在感染病毒的终端设备上提取并释放一些可执行文件。每个文件发挥不同的作用。最重要的一步是对受害者数据进行加密,这一步由 tasksche.exe 文件执行。

整个加密涵盖 160个不同的文件扩展名,以确保所有数据都被绑架。Wcry 用 .wcry/.wncry 文件扩展名对文件进行加密。
为了确保用户无法访问原先的拷贝,该恶意程序用 WMIC.exe、vssadmin.exe 和 cmd.exe. 删除了终端设备上的所有影子拷贝。这是勒索软件代码的常用手法。

显示勒索申明

大多数勒索软件都是用一张图片来向被感染的用户显示勒索申请,但是 Wcry 不同,它用了一个可执行文件。该文件并非恶意软件,只是一个向受害者显示申明信息的简单程序。
受害者所在国家的 IP 地址不同,他们看到的图像也会不同。该恶意软件的编写者提供了多个不同语言版本的申明,有些版本是由机器翻译的,句法很不通顺。
为了确保受害者能立即看到勒索申明,该恶意软件利用 SetForegroundWindow() 在桌面的主窗口显示勒索申明。

Ooops, your files have been encrypted!

在某些情况下,X-Factor 研究人员发现,该恶意软件还嵌入了一个工具,以更换受害者的桌面壁纸,指导受害者找到恶意软件留下的解密工具。

当前事态

迄今为止,医院、铁路系统、电信企业和快递服务公司,以及许多其他公司和个人都受到了攻击。
从受害者的角度来看,此次病毒的爆发袭击了一些国家的关键基础设施,比如德国和俄罗斯,而英国的医疗卫生行业受到重创,其影响绝不只是导致医院陷入瘫痪状态。受到影响的医院必须拒接患者,重新安排救护车,停止使用急救服务,重新安排手术和预约,这都给医院在近段时间的运营造成了不利影响。因为感染病毒的系统数量太多,一时很难完成事件的应对和补救。
据报道,从地理分布来看,俄罗斯成了最大的重灾区。乌克兰和印度也在十大重灾区名单上榜上有名,因为这些地区使用未更新补丁的老版 Windows 的用户更多。Europol 表示,这是一次前所未有的大规模攻击。
截至本文完稿时,Wcry 已经入侵 100多个国家和地区的超过 130,000个系统。被感染的终端设备超过 13万,如果受害者为解锁每台设备支付 300美金,那么赎金将达到 3900亿美元。请注意,这还只是保守的估计。Wcry 要求的赎金起步价是每个终端设备 300美金,但是两小时后增加至 400美金,然后是 500美金,600美金。
Wcry 的勒索申明中还包含了一条极富同情心的信息,针对的是无力承担赎金的用户。该恶意软件的攻击者声称,他们将在 6个月后免费解锁文件。 截至本文完稿时,攻击者收到的比特币总额已达到 19 BTC,价值约为 34,000美元,其余信息未被提及。执法部门很有可能正密切监视攻击者的账户和踪迹,以找到与犯罪嫌疑人之间的潜在联系。

不要助纣为虐

IBM X-Force 研发团队发现,与 Wcry 样本关联的比特币钱包还在不断收到新的付款。
值得注意的是,向犯罪分子支付赎金其实是在资助此类攻击,因此,我们强烈建议受害者不要付款。
目前,许多 Windows 服务器和工作站仍然很容易受到攻击,这意味着,未来一周 Wcry 仍然有可能扩散。
为了缓解这种威胁,企业应确保已紧急在使用 Windows 操作系统的基础架构上更新了相关的补丁。微软已经发布了急救补丁,您可以在此查看该补丁。
此外,我们建立您关闭 SMB 端口,尤其是与外部主机相连的 139和 445端口,以及连接局域网与 WAN 的 137和 138 UDP 端口。 从任意服务器上,使用已安装的 Netcat 运行以下命令,验证与 139和 445端口的出站连接是否已被断开:

  • nc smbcheck.rsec.us 139
  • nc smbcheck.rsec.us 445

若想进一步加强控制,您可以考虑禁用 SMBv1 和 SMBv2,只允许在客户端上根据策略启用 SMBv3 连接。

Wcry 的“死亡开关”已被移除

Wcry 正以惊人的速度四处传播,因为意外发现其“死亡开关”,Wcry 的传播速度暂时有所放缓,这一部分代码已被移除。
死亡开关位于勒索软件在终端设备安装之前所联系的硬编码域名中。这个域名并未被犯罪者注册,因此发现死亡开关的安全研究人员注册了该域名,将其变成了一个槽洞。
大家可以考虑通过公司的终端设备访问该槽洞域名。在周末感染了病毒的员工很有可能在周一早晨将这些老样本带入到公司的网络;如果可以连上这个域名,恶意软件就无法在这些终端设备上激活。域名为:

www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

www[.]iuqerfsodp9ifjaposdfjhgosurijfae
wrwergwea[.]com


请记住,发起这些攻击的犯罪分子已经移除了该死亡开关,并且不是所有样本从一开始就内置了死亡开关。因此,请确保您的环境已经更新了所有补丁,能够应对本周爆发的 Wcry 攻击。死亡开关的另一个关键点是,域名只能调用直接联网的系统工作。因此,如果终端设备代理了流量,那么死亡开关就起不了作用,勒索软件就会开始运行。这表明,攻击者的目的旨在袭击企业网络(因为企业网络的终端设备流量往往是代理的),而针对消费者设备的攻击有可能会暂停。
更多充足的建议,则请您咨询您的安全供应商。IBM Security 客户则可致电其联系人,获取风险缓解指导或事件响应要求。

勒索软件侵袭全球,显现不好苗头

勒索软件威胁并不是什么新概念。这种恶意软件侵入终端设备,对终端设备上的所有文件进行加密,然后勒索赎金,只有在收到文件的合法所有人给出的赎金后,才会对文件进行解密。勒索软件最早出现在 1989年,它被植入在一个软盘上寄给毫无防备的电脑机主。自 2014年加密货币在全球盛行以来,勒索软件攻击愈演愈烈,因为网络罪犯能通过加密货币,匿名向任何人勒索赎金。
勒索软件是 2016 年最盛行的网络威胁,有时每天的攻击甚至超过了 40,000次,其中超过 65%的垃圾短信携带恶意有效负载。跟踪垃圾邮件的 IBM X-Force 研究人员发现,2016 年勒索软件垃圾邮件的增长率相当惊人,达到了 6000%,从 2015年的 0.6%的垃圾邮件增长到了 2016年的平均 40%的垃圾邮件。2017年,这种情况正进一步恶化。
FBI 和国际执法机构已经敲响警钟,提醒人们警惕这一威胁。FBI 估计,截至 2016年底,勒索软件已为网络罪犯创造了 10亿美元的收入,而在 2017年,这一数字有望继续攀升。

在 IBM 的帮助下,保护贵企业安全

对 IBM Security 客户的影响:早在今年三月份检出 Windows 的漏洞时,IBM X-Force 的安全研究人员就已做出了应对,帮助 IBM Security 的客户妥善保护自身的数据。借助 IBM 的 BigFix 安全补丁或 QRadar 网络保护技术,客户可以对其数据进行妥善保护。此外,Watson for Cyber Security 能够分析攻击警告,并向我们的客户及托管安全运营中心反馈相关数据。

面向所有企业的保护措施:通过下述措施,可有效防范此类攻击:

有关如何利用您的 IBM 产品保护基础架构免受 Wcry 威胁,敬请浏览 X-Force Exchange 上的威胁缓解专题。

LimorKessem

LimorKessem

IBM 执行安全顾问

作为 IBM Security 的顶级网络智能安全专家,LimorKessem 是一位经验丰富的安全倡导者,公众演说家,并且会在前沿 IBM Security Intelligence 博客上定期发布博文。在加入 IBM 之前,Limor 曾就职于 RSA Security 等机构。她在 RSA 研究实验室工作了 5年,在 RSA 的 Speaking of Security 上开通了 FraudAction 博客。她还曾担任初创企业 ThetaRay 的大数据分析市场总监,在这里,她为该公司建立了网络安全市场领导力。Limor 在新兴网络犯罪威胁领域是公认的权威人士。她曾作为一名广受欢迎的演说家参加了 InfraGard New York 网络在线直播活动(一个与 FBI 合作开展的活动),在全球的 RSA 活动上发表演讲,围绕诈骗和网络范围的各个方面举行在线网络研讨会,并撰写了大量有关威胁智能的文章和书籍。Limor 加入了 IBM 的多个研究团队,并且掌握了最新威胁动态,因此,她的研究领域覆盖了影响消费者、企业和整个行业的趋势的方方面面。在社交方面,Limor 会通过推特账号 @iCyberFighter 发布安全主题的推文。此外,她还是一位巴西柔术运动爱好者。

联系 IBM

联系 IBM