今日頭條
官方微信
官方抖音
資訊頻道北京時(shí)間2017年5月12日,一款名為“WannaCry”(也稱WannaCrpt、WannaCrpt0r、Wcrypt、WCRY)的勒索軟件在全球范圍內(nèi)爆發(fā),造成極大影響。
針對(duì)本次攻擊事件,國(guó)家信息安全漏洞庫(kù)(CNNVD)進(jìn)行了分析研究,情況如下:
一、網(wǎng)絡(luò)攻擊事件背景
此次爆發(fā)的“WannaCry”勒索軟件來自“永恒之藍(lán)”(EternalBlue),主要利用微軟Windows操作系統(tǒng)的MS17-010漏洞進(jìn)行自動(dòng)傳播。相關(guān)數(shù)據(jù)顯示,每小時(shí)攻擊次數(shù)高達(dá)4000余次。“永恒之藍(lán)”是一種特洛伊加密軟件(Onion Ransomware),利用Windows操作系統(tǒng)在445端口的安全漏洞(CNNVD-201703-721 ~ CNNVD-201703-726)潛入電腦對(duì)多種文件類型加密并添加.onion后綴,使用戶無(wú)法打開。
二、“WannaCry”勒索軟件技術(shù)特點(diǎn)及危害
(一)攻擊特性
爆發(fā)突然。短短一天內(nèi),在幾乎毫無(wú)任何預(yù)兆的情況下,百余個(gè)國(guó)家和地區(qū)遭受攻擊并呈現(xiàn)蔓延態(tài)勢(shì)。行為惡劣。勒索蠕蟲一旦成功入侵,將加密系統(tǒng)內(nèi)全部文檔,并通過破壞硬盤快照的方式增加系統(tǒng)恢復(fù)難度,不交付贖金(單機(jī)解密贖金300美元至600美元,一般通過比特幣支付)無(wú)法解密。自動(dòng)傳播。可利用Windows平臺(tái)所有版本(winXP、Vista、Win7、Win8、Win2003、Win2008、Win10等)的漏洞進(jìn)行自動(dòng)傳播,未打補(bǔ)丁的機(jī)器極易感染并在內(nèi)外網(wǎng)快速傳播。無(wú)法解密。勒索軟件使用AES128加密文件,使用RSA2048公鑰加密AES密鑰。據(jù)目前情況看,除美國(guó)外其他國(guó)家基本無(wú)法通過計(jì)算或碰撞的方式進(jìn)行解密。通信匿名。勒索軟件進(jìn)行攻擊后,會(huì)自動(dòng)釋放Tor網(wǎng)絡(luò)組件,用于解密程序的網(wǎng)絡(luò)通信,贖金使用比特幣支付,使勒索過程難以追蹤溯源。時(shí)間掐準(zhǔn)。此次攻擊發(fā)生正值周末,據(jù)分析在我國(guó)爆發(fā)時(shí)間應(yīng)為周五下午3點(diǎn)左右,恰逢國(guó)內(nèi)各單位網(wǎng)絡(luò)安全防范最松懈之時(shí)。攻擊意外中斷。勒索軟件中預(yù)留了終止機(jī)制,即訪問一個(gè)超長(zhǎng)域名成功攻擊傳播就會(huì)停止。美國(guó)洛杉磯威脅情報(bào)公司一名員工注冊(cè)了該域名開啟了停止機(jī)制,域名啟用后每秒訪問IP過千。
(二)現(xiàn)實(shí)危害
文檔損失。遭受攻擊的各類文檔均被加密,無(wú)法訪問使用。系統(tǒng)停服。系統(tǒng)會(huì)不斷彈出交付贖金的窗口,無(wú)法正常使用。解密存疑。目前尚無(wú)對(duì)交付贖金進(jìn)行解密操作的分析,不確定是否能夠正常解密。
(三)潛在風(fēng)險(xiǎn)
內(nèi)網(wǎng)蔓延。尚未出現(xiàn)爆發(fā)大規(guī)模感染的情況,但分析其代碼可知,內(nèi)網(wǎng)蔓延的隱患仍然存在。變種變異。隨著殺毒軟件和安全防護(hù)措施的升級(jí),“WannaCry”勒索軟件若想避免查殺繼續(xù)存活,或會(huì)改變特征值,而為繼續(xù)感染更多計(jì)算機(jī),也可能利用新的漏洞進(jìn)行換代升級(jí)。
三、全球遭受網(wǎng)絡(luò)攻擊總體情況
(一)網(wǎng)絡(luò)攻擊涉及的范圍廣
此次網(wǎng)絡(luò)攻擊涉及百余個(gè)國(guó)家和地區(qū)的政府、電力、電信、醫(yī)療機(jī)構(gòu)等重要信息系統(tǒng)及個(gè)人電腦遭受嚴(yán)重網(wǎng)絡(luò)攻擊,最嚴(yán)重區(qū)域集中在美國(guó)、歐洲、澳洲等。截至目前,全球攻擊案例超過75000個(gè)。
(二)網(wǎng)絡(luò)攻擊無(wú)明顯地域和行業(yè)分布特點(diǎn)
從受攻擊目標(biāo)類型與地域分布來看,此次攻擊未表現(xiàn)出顯著的地域與行業(yè)分布特點(diǎn),與“WannaCry”隨機(jī)掃描傳播機(jī)制一致,攻擊無(wú)明顯指向性和目標(biāo)性。
(三)各方積極應(yīng)對(duì)與防范
各國(guó)政府謹(jǐn)慎應(yīng)對(duì)。尚無(wú)國(guó)家政府宣稱已經(jīng)調(diào)查掌握事件幕后詳細(xì)情況。英、德、俄、美等多個(gè)國(guó)家向本國(guó)公民及機(jī)構(gòu)發(fā)出警告,要求盡快更新補(bǔ)丁,做好計(jì)算機(jī)數(shù)據(jù)備份等防護(hù)工作。對(duì)于已感染設(shè)備中被加密的文件,目前各國(guó)政府及信息安全企業(yè)均無(wú)法提供有效的數(shù)據(jù)破解恢復(fù)手段。英國(guó)政府國(guó)家網(wǎng)絡(luò)安全中心(NCSC)稱其第一時(shí)間啟動(dòng)了針對(duì)事件及攻擊者的調(diào)查;德國(guó)、俄羅斯政府網(wǎng)絡(luò)安全機(jī)構(gòu)也作出了類似表態(tài)。相關(guān)安全企業(yè)開展技術(shù)分析。
研判分析認(rèn)為,目前較為明確的攻擊幕后背景線索主要是從代碼中逆向分析發(fā)現(xiàn)的三個(gè)比特幣錢包地址以及五個(gè)暗網(wǎng)命令控制服務(wù)器,各國(guó)網(wǎng)絡(luò)安全與司法調(diào)查機(jī)構(gòu)均已鎖定了這些目標(biāo),通過各方合作,將有望從這些線索中盡快發(fā)現(xiàn)攻擊者的實(shí)際背景情況。
四、處置建議
“WannaCry”勒索蠕蟲是勒索軟件類病毒中全球首例使用遠(yuǎn)程高危漏洞進(jìn)行自我傳播的蠕蟲,加密編程規(guī)范,如不公開私鑰,很難通過其他手段對(duì)被加密勒索的文件進(jìn)行解密,為此建議:
(一)應(yīng)急措施
1、立即斷網(wǎng),防止擴(kuò)散和蔓延。對(duì)于已經(jīng)感染“WannaCry”勒索蠕蟲的計(jì)算機(jī),盡快關(guān)機(jī),取出硬盤,通過專業(yè)數(shù)據(jù)恢復(fù)軟件進(jìn)行恢復(fù)。立即切斷內(nèi)外網(wǎng)連接,避免感染網(wǎng)絡(luò)中的其他計(jì)算機(jī)。
2、啟動(dòng)恢復(fù)程序,及時(shí)修復(fù)補(bǔ)丁。若計(jì)算機(jī)存在備份,應(yīng)啟動(dòng)備份恢復(fù)程序,及時(shí)安裝修復(fù)補(bǔ)丁。
(二)防范方案
1、個(gè)人用戶采取應(yīng)急措施,安裝漏洞修復(fù)補(bǔ)丁。“WannaCry”勒索蠕蟲利用的是微軟官方的SMB漏洞,請(qǐng)個(gè)人用戶及時(shí)檢查安裝MS17-010修復(fù)補(bǔ)丁。與此同時(shí),及時(shí)采取臨時(shí)解決方案,一是關(guān)閉計(jì)算機(jī)的445端口,二是配置主機(jī)級(jí)ACL 策略封堵445 端口,三是打開“Windows防火墻”,進(jìn)入“高級(jí)設(shè)置”,在入站規(guī)則中禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。
2、網(wǎng)絡(luò)管理員修改網(wǎng)絡(luò)配置,監(jiān)控網(wǎng)絡(luò)接口。建議各網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)防火墻上配置相關(guān)策略,限制外部對(duì)445端口的訪問,加強(qiáng)內(nèi)網(wǎng)審計(jì)。同時(shí)在接入交換機(jī)或核心交換機(jī)抓包,查看是否存在大量掃描內(nèi)網(wǎng)139、135、445端口的網(wǎng)絡(luò)行為,及時(shí)定位掃描發(fā)起點(diǎn),對(duì)掃描設(shè)備進(jìn)行病毒查殺,一旦發(fā)現(xiàn)被感染主機(jī),立即斷網(wǎng)防止進(jìn)一步擴(kuò)散。
(三)日常使用規(guī)范
在日常計(jì)算機(jī)使用過程中,對(duì)重要信息數(shù)據(jù)定期及時(shí)進(jìn)行備份;瀏覽網(wǎng)頁(yè)和使用電子郵件的過程中,切勿隨意點(diǎn)擊可以鏈接地址;及時(shí)更新操作系統(tǒng)及相關(guān)軟件版本,實(shí)時(shí)安裝公開發(fā)布的漏洞修復(fù)補(bǔ)丁。
以上內(nèi)容來源于網(wǎng)絡(luò)
北京市公安局海淀分局備案號(hào):11010802023656號(hào)