取消
普通评论
普通评论

上海地区WannaCry蠕虫式勒索软件传播与危害性分析报告

FreebuF.COM2017-05-26 09:57
蠕虫 勒索软件 信息安全

上海地区WannaCry蠕虫式勒索软件传播与危害性分析报告

  2017年5月12日,一款名位WannaCry(别名,WCRY、WCrypt、WannaCrypt0r)的蠕虫式勒索软件在互联网上广为流传。该勒索程序以Windows用户为目标,成功感染后即对用户计算机中各类文件和数据进行加密,并借由Windows SMB漏洞(CVE-2017-0143,MS17-010),以疯狂的速度蔓延至全球100多个国家,数以万计的企业及用户受到影响,范围覆盖金融、教育、医疗、通信、交通等各个行业领域。

  5月12日-15日期间,我们利用大数据分析方法对WannaCry及其变种在全上海的传播和影响范围进行了统计和分析。本报告不仅阐述了WannaCry蠕虫式勒索软件原理,且在大数据的支持下,从感染范围、感染趋势、地理位置分布等角度对WannaCry在上海的影响做了解读。

  Key Findings

  • 在5月13日Kill Switch域名被注册后,WannaCry在上海地区的扩散量呈螺旋下降趋势;

  • 从用户分布属性来看,本次勒索软件事件在上海地区影响到个人用户、基础服务、金融证券、酒店服务、商务服务、信息服务、学校、医疗、制造业等,其中个人用户受影响最大;

  • WannaCry在上海地区的波及范围相较以往的恶意程序都更为广泛,但严重性未及预期;

  • WannaCry变种蠕虫相较其自身,在上海地区的影响力和传播范围相对有限。

  关于Wanna蠕虫式勒索软件

  今年4月份, 黑客组织Shadow Brokers(影子经纪人)披露NSA(美国国家安全局)旗下方程式组织开发的漏洞利用工具(Fuzzbunch),其中包括针对Windows系统SMB服务漏洞利用工具“ETERNALBLUE(永恒之蓝)”。WannaCry蠕虫式勒索软件的大规模扩散正是以此工具为基础的。虽然微软早在今年3月份已经针对受支持的Windows系统发布了安全更新,修复了MS17-010漏洞,但仍有大量企业组织和个人在使用旧版本的Windows系统。

  所幸当时运营商大网均已对445端口访问进行限制,此举有效控制了Fuzzbunch框架中ETERNALBLUE工具漏洞利用的危害。所以,MS17-010漏洞并未立刻表现出影响力和危害性。

  但局域网仍在漏洞及其利用工具的有效射程中。攻击者正是利用普通用户对网络安全的不重视,未及时更新Windows系统补丁,实现了规模化攻击。本次WannaCry蠕虫式勒索软件利用MS17-010漏洞,得以在未打补丁的Windows计算机中,实现大规模迅速传播。 一旦所在组织中一台计算机受攻击,WannaCry蠕虫式勒索软件便会迅速寻找其他有漏洞的计算机并发动攻击,实现了快速传播感染和勒索钱财的目的。

  感染WannaCry蠕虫式勒索软件的Windows设备会对系统内的文件进行高强度加密(文件类型包括图片、文档、压缩包、视频、音频等),并向受害者勒索一定金额的比特币换取解密密钥。且安全专家提示,即便真的向勒索软件作者支付赎金也未必能实现数据解锁。

上海地区WannaCry蠕虫式勒索软件传播与危害性分析报告

  上海地区感染情况

  通过检测数据中心所部署采集设备的流量,我们分析了WannaCry蠕虫式勒索软件在上海地区12-15日期间的影响状况:

  图表1:上海地区WannaCry蠕虫式勒索软件及其变种的扩散趋势

上海地区WannaCry蠕虫式勒索软件传播与危害性分析报告

  从上图WannaCry蠕虫式勒索软件及其变种的的扩散趋势来看,从12日至15日,WannaCry的扩展状态呈收敛趋势。从数据走势不难发现,在13日Kill Switch域名“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”被注册之后,WannaCry的扩散得到显著抑制。

  Kill Switch是安全研究人员发现WannaCry蠕虫式勒索软件运行机制的组成部分。该勒索软件在运行之前会首先尝试连接上述域名,连接失败才会执行后续恶意行为;若连接成功则会停止运行。该域名被安全研究人员称为Kill Switch,因此在Kill Switch域名被注册过后,WannaCry的扩散速度便开始逐渐减缓。

  另从截取到的十多种WannaCry变种来看,感染量相对较大的仅2个变种,且即便是这2个变种,相较WannaCry自身的影响力也有着较大差距,传播范围相对有限。

  图表2:上海WannaCry区域感染情况

上海地区WannaCry蠕虫式勒索软件传播与危害性分析报告

  图表3:上海感染WannaCry IP在全上海的占比

上海地区WannaCry蠕虫式勒索软件传播与危害性分析报告

  图表4:不同行业领域受影响占比

上海地区WannaCry蠕虫式勒索软件传播与危害性分析报告

  具体检测样本情况如下:

  • 13日检测样本总数: 7.58亿条

  • 14日检测样本总数: 7.65亿条

  • 15日检测样本总数: 7.43亿条

  从上述图表可见,单从感染基数来看,WannaCry蠕虫式勒索软件的影响力的确相较其他普通恶意程序更为庞大,对企业组织和个人造成的危害也更大,但其影响力未及前期预估。

  若从行业维度划分,WannaCry蠕虫式勒索软件在上海波及到的行业包括金融证券、学校、信息服务、制造业、酒店服务、基础服务、商务服务和医疗等。但受影响最大的群体仍然是个人客户——个人客户遭遇WannaCry蠕虫式勒索软件危害传播数量全行业占比超过9成。

  WannaCry蠕虫式勒索软件分析

上海地区WannaCry蠕虫式勒索软件传播与危害性分析报告

  ① WannaCry病毒分为母体程序和子程序,母体程序(mssecsvc.exe)负责程序自启动及传播。

  ② 母体运行后会通过访问某个URL地址(样本以iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com为例),判定访问失败后执行后续程序。

  ③ 母体程序以进程转服务形式驻扎在受害机器中,并尝试对内网地址及随机的公网地址进行传播,攻击方式是利用了MS17-010漏洞,发送SMB协议攻击消息。

  ④ 母体释放勒索程序进行本机文件扫描,支持多达170余种类型文件,包括图片、音频、视频等类型文件。

  ⑤ 病毒程序使用AES算法进行文件加密,密钥使用2次RSA进行加密,以特定形式写入“源文件名+.wncry”,同时删除源文件。最后弹出比特币支付信息窗口,进行勒索。

  影响操作系统版本

  目前此漏洞仅影响Windows系统主机,除已经更新微软3月安全补丁的系统外,受到影响的系统版本囊括了Windows XP之后几乎所有的Windows系统,甚至包括历史寿命较短的Windows RT系统。具体为:

  Windows 10(1507,1511,1607)

  Windows 8 / 8.1

  Windows 7

  Windows Vista

  Win Server 2008、2008 R2、2012、2012 R2

  Windows RT

  Windows XP

  响应与处置方案

  针对受支持的Windows系统(包括Windows 10/Vista/7/Server 2008 R2/8.1/Server 2012/Server 2012 R2/Server 2016),微软已经在3月的安全更新中发布了MS17-010补丁,用以修复WannaCry蠕虫式勒索软件可利用的Windows SMB漏洞。微软另外也在近期面向部分不再受支持的系统,如Windows XP,针对该漏洞推出了安全更新。绝大部分Windows用户都应当及时安装微软官方的安全补丁,杜绝WannaCry蠕虫式勒索软件的进一步传播。更为具体的响应与处置方案包括:

  未感染WannaCry的安全预防

  • 所有Windows系统都应当安装微软的最新安全更新(Windows XP/8/Server 2003等老系统需额外下载官方补丁);

  • 禁用SMBv1协议;

  • 阻止139、445端口入站流量;

  • 采用最新版Windows Defender进行WannaCry检测;

  • 企业内部可从网络设备ACL策略入手,从网络层面阻断TCP 445端口通讯;

  感染WannaCry后的响应策略

  • 将已经感染WannaCry且数据遭遇加密的设备断开网络连接;

  • 查找内部所有开放445 SMB服务端口的终端与服务器进行检测和防范;

  • 尝试采用数据恢复工具(如No More Ransom相应工具)进行已删除文件恢复;

  • 若无法进行数据恢复,则可转移加密数据,等待专用数据解密工具;

  现状与思考

  近期有传言消息称,可快速解密已被WannaCry加密的文件。经专家鉴定,病毒传播作者采用高强度加密技术,目前暂无解密可能。因此,Windows用户需谨记,切勿因迫切希望解密文件致二次受骗,而应当理性看待安全事故。目前可以通过文件恢复技术将由病毒删除的文件进行恢复,国内外多家厂商也发布了文件恢复工具。

  此次病毒蔓延事件就像多年前知名的“熊猫烧香“一样,受到了各界人士的关注和重视。目前各行业已经从诸多渠道充分了解了WannaCry蠕虫式勒索软件的危害,也开始着手大规模进行系统升级,但病毒近期依旧持续蔓延,完全扫除威胁仍旧需要时间。

  网络安全是个恒久的话题,不断关注网络安全事业、重视自身网络安全建设才能打造更完善的安全生态圈。安全也不该因为一两次突发事件仅得到临时关注,安全是需要持之以恒的事业。

责任编辑:韩希宇

为你推荐

暂无相关推荐