今日頭條
官方微信
官方抖音
資訊頻道北京時(shí)間5月12日,互聯(lián)網(wǎng)上出現(xiàn)針對Windows操作系統(tǒng)的勒索軟件(Wannacry)攻擊案例。勒索軟件利用此前披露的Windows SMB服務(wù)漏洞(對應(yīng)微軟漏洞公告:MS17-010)攻擊手段,向終端用戶進(jìn)行滲透傳播,并向用戶勒索比特幣或其他價(jià)值物。包括高校、能源等重要信息系統(tǒng)在內(nèi)的多個(gè)國內(nèi)用戶受到攻擊,已對我國互聯(lián)網(wǎng)絡(luò)構(gòu)成較為嚴(yán)重的安全威脅。
一、勒索軟件情況
綜合CNCERT和國內(nèi)網(wǎng)絡(luò)安全企業(yè)(奇虎360公司、安天公司等)已獲知的樣本情況和分析結(jié)果,該勒索軟件在傳播時(shí)基于445端口并利用SMB服務(wù)漏洞(MS17-010),總體可以判斷是由于此前“Shadow Brokers”披露漏洞攻擊工具而導(dǎo)致的后續(xù)黑產(chǎn)攻擊威脅。4月16日,CNCERT主辦的CNVD發(fā)布《關(guān)于加強(qiáng)防范Windows操作系統(tǒng)和相關(guān)軟件漏洞攻擊風(fēng)險(xiǎn)的情況公告》,對影子紀(jì)經(jīng)人“Shadow Brokers”披露的多款涉及Windows操作系統(tǒng)SMB服務(wù)的漏洞攻擊工具情況進(jìn)行了通報(bào)(相關(guān)工具列表如下),并對有可能產(chǎn)生的大規(guī)模攻擊進(jìn)行了預(yù)警:
表1 有可能通過445端口發(fā)起攻擊的漏洞攻擊工具
工具名稱 | 主要用途 |
ETERNALROMANCE | SMB 和NBT漏洞,對應(yīng)MS17-010漏洞,針對139和445端口發(fā)起攻擊,影響范圍:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 |
EMERALDTHREAD | SMB和NETBIOS漏洞,對應(yīng)MS10-061漏洞,針對139和445端口,影響范圍:Windows XP、Windows 2003 |
EDUCATEDSCHOLAR | SMB服務(wù)漏洞,對應(yīng)MS09-050漏洞,針對445端口 |
ERRATICGOPHER | SMBv1服務(wù)漏洞,針對445端口,影響范圍:Windows XP、 Windows server 2003,不影響windows Vista及之后的操作系統(tǒng) |
ETERNALBLUE | SMBv1、SMBv2漏洞,對應(yīng)MS17-010,針對445端口,影響范圍:較廣,從WindowsXP到Windows 2012 |
ETERNALSYNERGY | SMBv3漏洞,對應(yīng)MS17-010,針對445端口,影響范圍:Windows8、Server2012 |
ETERNALCHAMPION | SMB v2漏洞,針對445端口 |
當(dāng)用戶主機(jī)系統(tǒng)被該勒索軟件入侵后,彈出如下勒索對話框,提示勒索目的并向用戶索要比特幣。而對于用戶主機(jī)上的重要文件,如:照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件,都被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。目前,安全業(yè)界暫未能有效破除該勒索軟的惡意加密行為,用戶主機(jī)一旦被勒索軟件滲透,只能通過重裝操作系統(tǒng)的方式來解除勒索行為,但用戶重要數(shù)據(jù)文件不能直接恢復(fù)。
圖1 勒索軟件界面圖(來源:安天公司)
圖2 用戶文件被加密(來源:安天公司)
二、應(yīng)急處置措施
CNCERT已經(jīng)著手對勒索軟件及相關(guān)網(wǎng)絡(luò)攻擊活動進(jìn)行監(jiān)測,5月13日9時(shí)30分至12時(shí),境內(nèi)境外約101.1萬個(gè)IP地址遭受“永恒之藍(lán)”SMB漏洞攻擊工具的攻擊嘗試,發(fā)起攻擊嘗試的IP地址(包括進(jìn)行攻擊嘗試的主機(jī)地址以及可能已經(jīng)感染蠕蟲的主機(jī)地址)數(shù)量9300余個(gè)。建議廣大用戶及時(shí)更新Windows已發(fā)布的安全補(bǔ)丁更新,同時(shí)在網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)絡(luò)區(qū)域、主機(jī)資產(chǎn)、數(shù)據(jù)備份方面做好如下工作:
(一)關(guān)閉445等端口(其他關(guān)聯(lián)端口如: 135、137、139)的外部網(wǎng)絡(luò)訪問權(quán)限,在服務(wù)器上關(guān)閉不必要的上述服務(wù)端口(具體操作請見參考鏈接);
(二)加強(qiáng)對445等端口(其他關(guān)聯(lián)端口如: 135、137、139)的內(nèi)部網(wǎng)絡(luò)區(qū)域訪問審計(jì),及時(shí)發(fā)現(xiàn)非授權(quán)行為或潛在的攻擊行為;
(三)及時(shí)更新操作系統(tǒng)補(bǔ)丁;
(四)安裝并及時(shí)更新殺毒軟件;
(五)不要輕易打開來源不明的電子郵件;
(六)定期在不同的存儲介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個(gè)人數(shù)據(jù)。
CNCERT后續(xù)將密切監(jiān)測和關(guān)注該勒索軟件的攻擊情況,同時(shí)聯(lián)合安全業(yè)界對有可能出現(xiàn)的新的攻擊傳播手段、惡意樣本進(jìn)行跟蹤防范。
附:參考鏈接:
http://thehackernews.com/2017/04/window-zero-day-patch.html?m=1&from=groupmessage
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0 (微軟發(fā)布的官方安全公告)
http://www.cnvd.org.cn/webinfo/show/4110(CNVD安全公告)
http://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html (安天防護(hù)手冊)
以上內(nèi)容來源于:國家互聯(lián)網(wǎng)應(yīng)急中心
北京市公安局海淀分局備案號:11010802023656號