行业动态

CNNVD关于WannaCry勒索软件攻击事件的分析报告

来源:聚铭网络    发布时间:2017-05-15    浏览次数:
 

信息来源:Freebuf

北京时间2017512一款名为“WannaCry”(也称WannaCrptWannaCrpt0rWcryptWCRY)的勒索软件在全球范围内爆发造成极大影响。针对本次攻击事件国家信息安全漏洞库(CNNVD)进行了分析研究 情况如下

1 网络攻击事件背景

此次爆发的“WannaCry”勒索软件来自永恒之蓝”(EternalBlue),主要利用微软Windows操作系统的MS17-010 漏洞进行自动传播。相关数据显示每小时攻击次数高达4000余次。永恒之蓝是一种特洛伊加密软件(Onion Ransomware), 利用Windows 操作系统在445端口的安全漏洞CNNVD-201703-721 ~ CNNVD-201703-726潜入电脑对多种文件类型加密并添加.onion后缀使用户无法打开。

2 “WannaCry”勒索软件技术特点及危害

(一)攻击特性

爆发突然。短短一天内在几乎毫无任何预兆的情况下百余个国家和地区遭受攻击并呈现蔓延态势。行为恶劣。勒索蠕虫一旦成功入侵将加密系统内全部文档并通过破坏硬盘快照的方式增加系统恢复难度不交付赎金 单机解密赎金300美元至 600美元一般通过比特币支付无法解密。自动传播。可利用Windows平台所有版本 (winXPVistaWin7Win8Win2003Win2008Win10的漏洞进行自动传播未打补丁的机器极易感染并在内外网快速传播。无法解密。勒索软件使用AES128加密文件使用RSA2048公钥加密AES密钥。据目前情况看 除美国外其他国家基本无法通过计算或碰撞的方式进行解密。通信匿名。勒索软件进行攻击后会自动释放Tor网络组件用于解密程序的网络通信赎金使用比特币支付 使勒索过程难以追踪溯源。时间掐准。此次攻击发生正值周末 据分析在我国爆发时间应为周五下午3点左右恰逢国内各单位网络安全防范最松懈之时。攻击意外中断。勒索软件中预留了终止机制即访问一个超长域名成功攻击传播就会停止。美国洛杉矶威胁情报公司一名员工注册了该域名开启了停止机

域名启用后每秒访问IP过千。

现实危害

文档损失。遭受攻击的各类文档均被加密无法访问使用。系统停服。系统会不断弹出交付赎金的窗口无法正常使用。解密存疑。目前尚无对交付赎金进行解密操作的分析不确定是否能够正常解密。

潜在风险

内网蔓延。尚未出现爆发大规模感染的情况但分析其代码可知内网蔓延的隐患仍然存在。变种变异。随着杀毒软件和安全防护措施的升级,“WannaCry”勒索软件若想避免查杀继续存活或会改变特征值 而为继续感染更多计算机也可能利用新的漏洞进行换代升级。

三、全球遭受网络攻击总体情况

网络攻击涉及的范围广。

此次网络攻击涉及百余个国家和地区的政府、电力、电信、医疗机构等重要信息系统及个人电脑遭受严重网络攻击最严重区域集中在美国、欧洲、澳洲等。截至目前全球攻击案例超过75000个。

(二网络攻击无明显地域、行业分布特点

从受攻击目标类型与地域分布来看此次攻击未表现出显著的地域与行业分布特点“WannaCry”随机扫描传播机制一致攻击无明显指向性和目标性。

各方积极应对与防范

各国政府谨慎应对。尚无国家政府宣称已经调查掌握事件幕后详细情况。英、德、俄、美等多个国家向本国公民及机构发出警告要求尽快更新补丁做好计算机数据备份等防护工作。对于已感染设备中被加密的文件目前各国政府及信息安全企业均无法提供有效的数据破解恢复手段。英国政府国家网络安全中心 (NCSC)称其第一时间启动了针对事件及攻击者的调查 德国、俄罗斯政府网络安全机构也作出了类似表态。相关安全企业开展技术分析。

研判分析认为目前较为明确的攻击幕后背景线索主要是从代码中逆向分析发现的三个比特币钱包地址以及五个暗网命令控制服务器各国网络安全与司法调查机构均已锁定了这些目标通过各方合作将有望从这些线索中尽快发现攻击者的实际背景情况。

四、处置建议

“WannaCry”勒索蠕虫是勒索软件类病毒中全球首例使用远程高危漏洞进行自我传播的蠕虫加密编程规范如不公开私钥很难通过其他手段对被加密勒索的文件进行解密为此建议

应急措施

1、立即断网防止扩散和蔓延。对于已经感染“WannaCry”勒索蠕虫的计算机尽快关机取出硬盘通过专业数据恢复软件进行恢复。立即切断内外网连接 避免感染网络中的其他计算机。

2、启动恢复程序及时修复补丁。若计算机存在备份应启动备份恢复程序及时安装修复补丁。

防范方案

1、个人用户采取应急措施安装漏洞修复补丁。“WannaCry”勒索蠕虫利用的是微软官方的SMB漏洞请个人用户及时检查安装 MS17-010修复补丁。与此同时及时采取临时解决方案 一是关闭计算机的445端口二是配置主机级ACL 策略封堵 445 端口三是打开“Windows防火墙”,进入高级设置 ”,在入站规则中禁用 文件和打印机共享相关规则。

2、网络管理员修改网络配置监控网络接口。建议各网络管理员在网络防火墙上配置相关策略限制外部对445端口的访问加强内网审计。同时在接入交换机或核心交换机抓包 查看是否存在大量扫描内网139135445端口的网络行为及时定位扫描发起点对扫描设备进行病毒查杀 一旦发现被感染主机立即断网防止进一步扩散。

日常使用规范

在日常计算机使用过程中对重要信息数据定期及时进行备份浏览网页和使用电子邮件的过程中切勿随意点击可以链接地址及时更新操作系统及相关软件版本实时安装公开发布的漏洞修复补丁。

*本文作者CNNVD,转载请注明来自FreeBuf.COM

 
 

上一篇:2017年05月14日 聚铭安全速递

下一篇:“想哭”勒索软件威胁或将持续 用户仍然面临风险