事件分析|WannaCry蠕虫勒索软件事件分析

一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中包括“永恒之蓝”攻击程序。4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警:


工具名称

主要用途

ETERNALROMANCE

SMB 和NBT漏洞,对应MS17-010漏洞,针对139和445端口发起攻击,影响范围:Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2

EMERALDTHREAD

SMB和NETBIOS漏洞,对应MS10-061漏洞,针对139和445端口,影响范围:Windows XP、

Windows 2003

EDUCATEDSCHOLAR

SMB服务漏洞,对应MS09-050漏洞,针对445端口

ERRATICGOPHER

SMBv1服务漏洞,针对445端口,影响范围:Windows XP、 Windows server 2003,

不影响windows Vista及之后的操作系统

ETERNALBLUE

SMBv1、SMBv2漏洞,对应MS17-010,针对445端口,影响范围:较广,

从WindowsXP到Windows 2012

ETERNALSYNERGY

SMBv3漏洞,对应MS17-010,针对445端口,影响范围:Windows8、Server2012

ETERNALCHAMPION

SMB v2漏洞,针对445端口


                               有可能通过445端口发起攻击的漏洞攻击工具


事件起因

事实上,微软已经在三月份发布相关漏洞(MS17-010)修复补丁,但很多用户都没有及时修复更新,因而遭到此次攻击。


该勒索软件是一个名为“WannaCry”的新型勒索软件,该软件是一种蠕虫变种(也被称为 “Wannadecrypt0r”、“wannacryptor”或“ wcry”)。该勒索软件利用了基于445端口传播扩散的SMB漏洞MS17-010。攻击者扫描全网开放的445端口,再利用自动化攻击脚本生成恶意文件感染主机。软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”,会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”,同时衍生大量语言配置等文件,该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头。

“勒索软件”使用了比特币虚拟货币,难以追溯,他们可以轻松获利,比特币随处可买,线上流通。它不需要身份证验证,也不需要去银行管理。比特币是个“去中心化”的金融体系,警察对比特币交易无法追踪。有了这么一个“地下交易”网,黑客们拿完钱后轻松逍遥法外。已报告的网络勒索案,绝大多数都是通过比特币支付的赎金。


目前无法解密受到该类型的勒索软件感染的文件。


影响范围

1.国外

影响覆盖美国、俄罗斯、整个欧洲等100多个国家,英国多家医院中招,病人资料外泄,同时俄罗斯、意大利、整个欧洲,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。另外有网友反映,德国火车站,飞机场等也受到了病毒攻击。



1494819405859816.png


                                                                             交通行业大屏展示系统

2. 国内

通过校园网传播,十分迅速,各大高校纷纷中招。

1494819476210720.png


1494819486189280.png

且ATM机、火车站、自助终端、邮政、医院、政府办事终端、视频监控都可能遭受攻击。

根据此前病毒影响区域分析,目前受影响的区域主要集中于:教育行业、医疗行业、政府行业。

解决方案

1. 漏洞名称

Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)

包含如下CVE:

  • CVE-2017-0143 严重 远程命令执行

  • CVE-2017-0144 严重 远程命令执行

  • CVE-2017-0145 严重 远程命令执行

  • CVE-2017-0146 严重 远程命令执行

  • CVE-2017-0147 重要 信息泄露

  • CVE-2017-0148 严重 远程命令执行

2. 漏洞描述

SMBv1 server是其中的一个服务器协议组件。

Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。

远程攻击者可借助特制的数据包利用该漏洞执行任意代码。

以下版本受到影响:

  • Microsoft Windows Vista SP2

  • Windows Server 2008 SP2和R2 SP1

  • Windows 7 SP1

  • Windows 8.1

  • Windows Server 2012 Gold和R2

  • Windows RT 8.1

  • Windows 10 Gold、1511和1607

  • Windows Server 2016

3. 解决方法

1. 防火墙屏蔽445端口

分别在系统防火墙入站和出站规则中新建规则,如图:


1494819534860857.png

新建deny 135、137、139、445端口的连接,如图:


1494819552425169.png

2. 利用 Windows Update 进行系统更新

3. 关闭 SMBv1 服务

适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

对于客户端操作系统:

  • 打开“控制面板”,单击“程序和功能”,然后单击“打开或关闭 Windows 功能”,如图:


     

1494819606627455.png

  • 重启系统。

对于服务器操作系统:

  • 打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能’;

  • 在“功能”窗口中,清除“SMB 1.0/CIFS;

  • 文件共享支持”复选框,然后单击“确定”以关闭此窗口;

  • 重启系统

适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表

  • 注册表路径︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

  • 新建项︰ SMB1,值0(DWORD)

  • 重新启动计算机

4. 勒索病毒中招尝试解决方案

  • 打开自己系统上勒索软件界面,点击copy. (复制黑客的比特币地址) ;

  • 把copy粘贴到btc.com (区块链查询器) ;

  • 在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值) ;

  • 把txid 复制粘贴到勒索软件界面,点击按钮【connect_us】 ;

  • 等黑客看到后,再点击勒索软件上的【check_payment】 ;

  • 再点击decrypt 解密文件即可。