一般來說,影響力最大的事物并不是最牛掰的事物——這件事可以反映到周末爆發的WannaCry勒索軟件身上。WannaCry可以說是史上影響、危害最大的勒索程序沒有之一了,它在爆發后的幾個小時內攻擊99個國家近萬臺設備,在大量企業組織和個人間蔓延,從MalwareTech的數據來看,僅周五下午,WannaCry受害人就超過22.3萬;且在隨后出現變種。
對大眾媒體來說,宣導個勒索軟件概念就不是件容易的事情了。不過在這兩年的全球安全行業內,勒索軟件的發展已經相當成熟,去年開始Ransome-as-a-Service在黑市就已經很有市場。WannaCry就勒索軟件本身而言只能說是相當平凡的。
在這篇文章中,我們將總結包括微軟、思科、CNVD、CNNVD、360、安天、騰訊、安恒、瑞星、斗象科技、微步在線等安全企業和組織給出針對WannaCry的分析和處置方案。如果你正在擔憂WannaCry可能波及自己其所在企業組織,那么或許此文能夠給你一些方向。
WannaCry并沒有多么“sophisticated”!
國外安全公司經常在分析、形容某個惡意程序的時候說它相當“sophisticated”,一般我們傾向于將之翻譯成復雜,不過它不光是表達復雜,還可以表達“精致”“老道”“水平高”。
FreeBuf先前分析過不少隱蔽技術極強的惡意程序,還有不少APT組織所用的exploit和工具都稱得上sophisticated。而在勒索軟件中可以稱得上sophisticated的,比如著名的Locky、Cerber等。
WannaCry本身無論如何都算不上sophisticated,無論是上周五就發布分析文章的思科Talos團隊,還是騰訊、安天的分析,這款惡意程序無非兩個組成部分:用于勒索(加密數據、解密數據)的部分,以及針對Windows SMB漏洞的利用。后一部分是WannaCry的精髓,也是WannaCry之所以傳播能力如此之強的根源。
不過這部分實際上主要是對早前NSA泄露的ETERNALEBLUE(永恒之藍)exploit的改寫版本——Shadow Brokers在幾度出售方程式工具包失敗之后就主動將一堆0day放出了,其中就包括了這次用到的exploit(還有個DOUBLEPULSAR)。換句話說,WannaCry的震懾力主要是來自NSA方程式組織。
一般勒索程序的主流傳播手段是社工,無論是郵件釣魚還是惡意URL釣魚,這都需要用戶進行交互或下載paylOAd。而WannaCrypt卻是借助Windows系統本身的漏洞,該漏洞將惡意構建的包發往SMBv1服務器就能觸發。微軟在3月份的Patch Tuesday中已經發布了MS17-010安全公告中修復了該問題,只不過大量企業組織不會實時打補丁,還有很多企業在用Windows XP這樣陳舊的系統,自然受到了影響。
騰訊電腦管家實際上在分析中已經寫得相當清楚:從木馬自身讀取MS17-010漏洞利用代碼,payload分成x86和x64兩個版本;創建兩個線程,分別掃描內網和外網IP,開始蠕蟲傳播感染。
也就是說,企業內部只要有一臺設備感染WannaCry,則整個內網未采用最新系統的Windows設備都可能被很快感染——這是其傳播速度極快的一個原因。而且還不僅于此,整個過程,會對公網隨機IP地址445端口進行掃描,所以實際上是不僅限于局域網內部的。瑞星的分析文章中也給出了隨機生成IP攻擊全球主機IP的截圖。
FreeBuf編輯部內部在討論,WannaCry的最初感染到底是怎么做到的?有部分編輯(比如小編我)認為肯定是釣魚——這是惡意程序的常規手段,但Sphinx同學則堅持認為,既然都利用了漏洞,還要釣魚干嘛。這話也有道理。
思科Talos在自家的安全博客中說:“它并不只是簡單在內部范圍進行掃描識別擴散對象,它也能針對暴露在互聯網上、存在漏洞的外部主機進行擴散。”不過微軟官方則認為其傳播的兩個主要途徑,既有社工郵件,也有通過其它感染設備利用SMB漏洞對其它可以通訊的設備(所謂的addressable)進行感染。
但“我們沒有證據,明確該勒索程序最初是怎么感染的”,這是微軟的原話。無論如何,永恒之藍都是WannaCry的核心所在。至于其勒索組成部分,騰訊的分析比較詳細,也很好懂,感興趣的同學可以參見。
這里有個有趣的細節值得一提,勒索程序作者給出了繳納贖金的3個比特幣地址。Bleeping Computer在周五的文章中提到,這就讓事情變得比較麻煩,因為這樣一來WannaCry幕后真兇很難辨別究竟誰付過了贖金——畢竟受害人也是會騙人的。這表明“開發人員在這個領域的經驗不夠”。而且至少到昨天為止,雖然這款勒索軟件影響力如此之廣,這三個比特幣錢包也只收到了17.309比特幣,也就是大約3.16萬美元,這收益和其影響力比起來,的確還算不上很理想。
避免感染,具體怎么做?
WannaCry出現之后,最為人津津樂道的地方在于它有個“Kill Switch”。安天針對WannaCry的運行流程圖中很明確(綠盟的分析也很清晰)地能夠看到Kill Switch所處的位置,即在mssecsvc.exe進程之后的“連接網址”,這個網址也就是這兩天相當火的:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
在連接該網址不成功以后才進行接下來的勒索和蠕蟲步驟,如果連接成功則會停止惡意行為。安全專家立刻注冊了這一域名(MalwareTech),所以WannaCry的擴散勢頭被臨時制止。微步在線為我們解釋了攻擊者這么做的原因。而且實際上,微步在線在周六的時候已經發布文章,在安全建議中告訴企業,如果發現設備感染,對于如何斷網的問題應該謹慎。
悲劇的是,很多企業的IT管理員并不了解其中原委,看到這么個URL,以為是惡意網址,就阻止了其訪問,反倒助長了勒索程序的擴散。這種事情都表征大量企業安全在執行上的荒謬。
斗象科技旗下漏洞盒子今天也已經發布了WannaCry蠕蟲勒索軟件處置手冊,我們綜合其它安全企業如360安全監測與響應中心給出的建議做個簡單的總結。針對已經感染WannaCry和未感染WannaCry的設備有兩套方案:
針對尚未感染或未知是否感染WannaCry的設備和企業網絡
1.Windows設備需要:
• Windows 10/Vista/7/Server 2008 R2/8.1/Server 2012/Server 2012 R2/Server 2016系統用戶請通過系統升級通道升級微軟發布的3月安全更新即可對其傳播過程免疫(其中MS17-010安全更新下載地址);
• 微軟相當罕見地針對已經不受支持的Windows系統發布了安全更新,包括Windows XP、Windows 8、Windows Server 2003,這大概也能表現其嚴重性。點擊這里打補丁。
按照系統選擇下載:Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
• Windows Defender最新版本(1.243.297.0)已經能夠檢測Ramson:Win32/WannaCrypt;絕大部分主流反病毒軟件也都已經支持WannaCry的檢測。
wannacry-ransomware-decrypt-unlock-files.png
• 微軟另外還建議用戶禁用SMBv1,畢竟這也是個相對較老的協議了,漏洞盒子的處置流程也提到了以這一點,具體的步驟點這里;
• 包括思科Talos在內的絕大部分安全廠商都在防御建議中提到,面向互聯網(139與445端口)可公開訪問SMB的企業組織應阻止其入站流量:
• 思科特別建議企業組織禁止TOR節點連接以及TOR流量;
• 微步在線在給出的建議中提到:如果內網機器沒有外網訪問權限,則建議客戶在內網修改此開關域名(即上述Kill Switch)的內網解析,并且將解析IP指向在線的內部web服務器;如果內網機器具有外網訪問權限,則無須采取額外措施;
• 部分針對WannaCry的免疫和檢測工具下載:
- 漏洞盒子的Wannacry蠕蟲勒索軟件處置流程及工具包(含離線補丁):https://pan.baidu.com/s/1o8ludfk(點擊這里按照步驟進行)
- 西班牙CERT最早給出臨時避免WannaCry感染的腳本:https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND
- 瑞星“永恒之藍”免疫工具:http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
- 360的NSA武器庫免疫工具:http://dl.360safe.com/nsa/nsatool.exe
- 多提一句:Windows Defender最新版也已經支持檢測;
• 另外針對相對大型的企業組織,這些機構需要設定有效的補丁管理,向端點和其它基建及時部署安全更新;
2.企業網絡需要:
360安全監測與響應團隊給出了相對詳盡的方案。由于許多大型機構設備眾多,所以可從網絡設備ACL策略配置著手,實現臨時封堵——即配置ACL規則從網絡層面阻斷TCP 445端口通訊。不過各類設備的配置方法有差異,可參見各安全設備提供商給出的方案。如思科針對自家防火墻產品所推的方案,可參見這里:
針對已經感染WannaCry的設備和企業網絡
就此問題,漏洞盒子和CNNVD都給出了一些建議,內容如下:
• 在企業組織內部發現某臺設備已經被WannaCry感染且數據加密的情況下,應當立即將這臺設備與網絡斷開;
• 查找內部所有開放445 SMB服務端口的終端與服務器;
• 不要在已經中毒的設備之上連接移動設備和驅動器;
• 文件數據遭遇加密后或可提供部分恢復的工具:
- 易我數據恢復:http://pc.qq.com/detail/7/detail_161187.html(使用教程點這里)
- 360“勒索蠕蟲病毒文件恢復工具”:https://dl.360safe.com/recovery/RansomRecovery.exe(使用教程點這里)
- 其它工具:
No More Ransom:https://www.nomoreransom.org/
antiBTCHack:https://github.com/QuantumLiu/antiBTCHack
• 或者還可以將加密數據轉移,等待安全廠商推專門的數據解密工具
更多建議
實際上從昨天開始,網上就在傳WannaCry 2.0,提到變種版本已經去掉了Kill Switch,可進行更大規模的殺戮。不過卡巴斯基的Costin Raiu已經在Twitter表示:是我不好,針對所有已知的Wannacry蠕蟲mods進行分析后,我們在其中都發現了Kill Switch,并無版本不包含Kill Switch。最先進行2.0報道的MOTHERBOARD也已經就此錯誤進行了道歉。
不過Matt Suiche在昨天的博客文章中談到的確有了新的“no kill switch”的變種,但其危害相對有限無法達到WannaCry的高度。
最后值得一提的是,微軟在安全公告中提到并不清楚WannaCry最初是如何感染的,所以不排除釣魚郵件和鏈接的可能性。所以除了平常需要科學的系統更新部署方式,不要點擊不受信任的鏈接或打開不受信任的郵件附件也是相當初級和有效的建議了。
針對勒索軟件本性,CNNVD的處置建議最后一條提到:在日常計算機使用過程中,對重要信息數據定期及時進行備份,這本身也是杜絕勒索軟件成功勒索的最重要步驟。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:全球安全廠商針對“Wannacry勒索蠕蟲”響應與處置方案匯總
本文網址:http://www.guhuozai8.cn/html/consultation/10839520659.html
相關文章
