[[191091]]

要點(diǎn)綜述

據(jù)報(bào)道稱，全球多家組織遭到了一次嚴(yán)重的勒索軟件攻擊，西班牙的Telefonica、英國(guó)的國(guó)民保健署、以及美國(guó)的FedEx等組織紛紛中招。發(fā)起這一攻擊的惡意軟件是一種名為“WannaCry”的勒索軟件變種。

該惡意軟件會(huì)掃描電腦上的TCP 445端口(Server Message Block/SMB)，以類似于蠕蟲病毒的方式傳播，攻擊主機(jī)并加密主機(jī)上存儲(chǔ)的文件，然后要求以比特幣的形式支付贖金。

此外，Talos還注意到WannaCry樣本使用了DOUBLEPULSAR，這是一個(gè)由來已久的后門程序，通常被用于在以前被感染的系統(tǒng)上訪問和執(zhí)行代碼。這一后門程序允許在系統(tǒng)上安裝和激活惡意軟件等其他軟件。它通常在惡意軟件成功利用SMB漏洞后被植入，后者已在Microsoft安全公告MS17-010中被修復(fù)。在Shadow Brokers近期向公眾開放的工具包中，一種攻擊性漏洞利用框架可利用此后門程序。自這一框架被開放以來，安全行業(yè)以及眾多地下黑客論壇已對(duì)其進(jìn)行了廣泛的分析和研究。

WannaCry似乎并不僅僅是利用與這一攻擊框架相關(guān)的ETERNALBLUE(永恒之藍(lán))模塊，它還會(huì)掃描可訪問的服務(wù)器，檢測(cè)是否存在DOUBLEPULSAR后門程序。如果發(fā)現(xiàn)有主機(jī)被植入了這一后門程序，它會(huì)利用現(xiàn)有的后門程序功能，并使用它來通過WannaCry感染系統(tǒng)。如果系統(tǒng)此前未被感染和植入DOUBLEPULSAR，該惡意軟件將使用ETERNALBLUE嘗試?yán)肧MB漏洞。這就造成了近期在互聯(lián)網(wǎng)上觀察到的大規(guī)模類似蠕蟲病毒的活動(dòng)。

組織應(yīng)確保運(yùn)行Windows操作系統(tǒng)的設(shè)備均安裝了全部補(bǔ)丁，并在部署時(shí)遵循了最佳實(shí)踐。此外，組織還應(yīng)確保關(guān)閉所有外部可訪問的主機(jī)上的SMB端口(139和445)。

請(qǐng)注意，針對(duì)這一威脅我們當(dāng)前還處于調(diào)查階段，隨著我們獲知更多信息，或者攻擊者根據(jù)我們的行動(dòng)作出響應(yīng)，實(shí)際情況將可能發(fā)生變化。Talos將繼續(xù)積極監(jiān)控和分析這一情況，以發(fā)現(xiàn)新的進(jìn)展并相應(yīng)采取行動(dòng)。因此，我們可能會(huì)制定出新的規(guī)避辦法，或在稍后調(diào)整和/或修改現(xiàn)有的規(guī)避辦法。有關(guān)最新信息，請(qǐng)參閱您的Firepower Management Center或Snort.org。

攻擊詳細(xì)信息

我們注意到從東部標(biāo)準(zhǔn)時(shí)間早上5點(diǎn)(世界標(biāo)準(zhǔn)時(shí)間上午9點(diǎn))前開始，網(wǎng)絡(luò)中針對(duì)聯(lián)網(wǎng)主機(jī)的掃描開始急速攀升。

基礎(chǔ)設(shè)施分析

Cisco Umbrella研究人員在UTC時(shí)間07:24，觀察到來自WannaCry的killswitch域名(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com)的第一個(gè)請(qǐng)求，此后在短短10小時(shí)后，就上升到1,400的峰值水平。

該域名組成看起來就像是人為輸入而成，大多數(shù)字符均位于鍵盤的上排和中間排。

鑒于此域名在整個(gè)惡意軟件執(zhí)行中的角色，與其進(jìn)行的通信可能被歸類為kill switch域名：

以上子程序會(huì)嘗試對(duì)此域名執(zhí)行HTTP GET操作，如果失敗，它會(huì)繼續(xù)進(jìn)行感染操作。然而，如果成功，該子程序?qū)?huì)結(jié)束。該域名被注冊(cè)到一個(gè)已知的sinkhole，能夠有效使這一樣本結(jié)束其惡意活動(dòng)。

原始注冊(cè)信息有力證明了這一點(diǎn)，其注冊(cè)日期為2017年5月12日：

惡意軟件分析

初始文件mssecsvc.exe會(huì)釋放并執(zhí)行tasksche.exe文件，然后檢查kill switch域名。之后它會(huì)創(chuàng)建mssecsvc2.0服務(wù)。該服務(wù)會(huì)使用與初次執(zhí)行不同的入口點(diǎn)執(zhí)行mssecsvc.exe文件。第二次執(zhí)行會(huì)檢查被感染電腦的IP地址，并嘗試聯(lián)接到相同子網(wǎng)內(nèi)每個(gè)IP地址的TCP 445端口。當(dāng)惡意軟件成功聯(lián)接到一臺(tái)電腦時(shí)，將會(huì)建立聯(lián)接并傳輸數(shù)據(jù)。我們認(rèn)為這一網(wǎng)絡(luò)流量是一種利用程序載荷。已有廣泛報(bào)道指出，這一攻擊正在利用最近被泄露的漏洞。Microsoft已在MS17-010公告中修復(fù)了此漏洞。我們當(dāng)前尚未完全了解SMB流量，也未完全掌握這一攻擊會(huì)在哪些條件下使用此方法進(jìn)行傳播。

tasksche.exe文件會(huì)檢查硬盤，包括映射了盤符的網(wǎng)絡(luò)共享文件夾和可移動(dòng)存儲(chǔ)設(shè)備，如“C:/”和“D:/”等。該惡意軟件之后會(huì)檢查具有附錄中所列后綴名的文件，然后使用2048位RSA加密算法對(duì)其進(jìn)行加密。在加密文件的過程中，該惡意軟件會(huì)生成一個(gè)新的文件目錄“Tor/”，在其中釋放tor.exe和九個(gè)供tor.exe使用的dll文件。此外，它還會(huì)釋放兩個(gè)額外的文件：taskdl.exe和taskse.exe。前者會(huì)刪除臨時(shí)文件，后者會(huì)啟動(dòng)@wanadecryptor@.exe，在桌面上向最終用戶顯示勒索聲明。@wanadecryptor@.exe并不包含在勒索軟件內(nèi)，其自身也并非勒索軟件，而僅僅是用來顯示勒索聲明。加密由tasksche.exe在后臺(tái)完成。

@wanadecryptor@.exe會(huì)執(zhí)行tor.exe文件。這一新執(zhí)行的進(jìn)程將會(huì)啟動(dòng)到Tor節(jié)點(diǎn)的網(wǎng)絡(luò)聯(lián)接，讓W(xué)annaCry能夠通過Tor網(wǎng)絡(luò)代理發(fā)送其流量，從而保持匿名。

與其他勒索軟件變種類似，該惡意軟件也會(huì)刪除受害人電腦上的任意卷影副本，以增加恢復(fù)難度。它通過使用WMIC.exe、vssadmin.exe和cmd.exe完成此操作。

WannaCry使用多種方法輔助其執(zhí)行，它使用attrib.exe來修改+h標(biāo)記(hide)，同時(shí)使用icacls.exe來賦予所有用戶完全訪問權(quán)限(“icacls ./grant Everyone:F /T /C /Q”)。

該惡意軟件被設(shè)計(jì)成一種模塊化服務(wù)。我們注意到與該勒索軟件相關(guān)的可執(zhí)行文件由不同的攻擊者編寫，而非開發(fā)服務(wù)模塊的人員編寫。這意味著該惡意軟件的結(jié)構(gòu)可能被用于提供和運(yùn)行不同的惡意載荷。

加密完成后，該惡意軟件會(huì)顯示以下勒索聲明。這一勒索軟件非常有趣的一點(diǎn)是，其勒索屏幕是一個(gè)可執(zhí)行文件，而非圖像、HTA文件或文本文件。

組織應(yīng)該意識(shí)到，犯罪分子在收到勒索贖金后，并無義務(wù)提供解密秘鑰。Talos強(qiáng)烈呼吁所有被攻擊的人員盡可能避免支付贖金，因?yàn)橹Ц囤H金的舉動(dòng)無疑就是在直接資助這些惡意活動(dòng)的壯大。

規(guī)避與預(yù)防

希望避免被攻擊的組織應(yīng)遵循以下建議：

• 確保所有Windows系統(tǒng)均安裝了全部補(bǔ)丁。至少應(yīng)確保安裝了Microsoft公告MS17-010。

• 根據(jù)已知的最佳實(shí)踐，具有可通過互聯(lián)網(wǎng)公開訪問的SMB(139和445端口)的任意組織應(yīng)立即阻止入站流量。

此外，我們強(qiáng)烈建議組織考慮阻止到TOR節(jié)點(diǎn)的聯(lián)接，并阻止網(wǎng)絡(luò)上的TOR流量。ASA Firepower設(shè)備的安全情報(bào)源中列出了已知的TOR出口節(jié)點(diǎn)。將這些節(jié)點(diǎn)加入到黑名單將能夠避免與TOR網(wǎng)絡(luò)進(jìn)行出站通信。

除了以上的規(guī)避措施外，Talos強(qiáng)烈鼓勵(lì)組織采取以下行業(yè)標(biāo)準(zhǔn)建議的最佳實(shí)踐，以預(yù)防此類及其他類似的攻擊活動(dòng)。

• 確保您的組織運(yùn)行享有支持的操作系統(tǒng)，以便能夠獲取安全更新。

• 建立有效的補(bǔ)丁管理辦法，及時(shí)為終端及基礎(chǔ)設(shè)施內(nèi)的其他關(guān)鍵組件部署安全更新。

• 在系統(tǒng)上運(yùn)行防惡意軟件，確保定期接收惡意軟件簽名更新。

• 實(shí)施災(zāi)難恢復(fù)計(jì)劃，包括將數(shù)據(jù)備份到脫機(jī)保存的設(shè)備，并從中進(jìn)行恢復(fù)。攻擊者會(huì)經(jīng)常瞄準(zhǔn)備份機(jī)制，限制用戶在未支付贖金的情況下恢復(fù)其文件的能力。

規(guī)避辦法

Snort規(guī)則：42329-42332、42340、41978

下方列出了客戶可以檢測(cè)并阻止此威脅的其他辦法。

高級(jí)惡意軟件防護(hù)(AMP)能夠有效避免執(zhí)行這些攻擊者使用的惡意軟件。

CWS或WSA網(wǎng)絡(luò)掃描能夠阻止訪問惡意網(wǎng)站，并發(fā)現(xiàn)這些攻擊中使用的惡意軟件。

Email Security可以阻止攻擊者在其攻擊活動(dòng)中發(fā)送的惡意電子郵件。

IPS和NGFW的網(wǎng)絡(luò)安全防護(hù)功能可以提供最新的簽名，用來檢測(cè)攻擊者發(fā)起的惡意網(wǎng)絡(luò)活動(dòng)。

AMP Threat Grid能夠幫助發(fā)現(xiàn)惡意軟件二進(jìn)制文件，并在所有思科安全產(chǎn)品中建立防護(hù)措施。

Umbrella能夠阻止對(duì)與惡意活動(dòng)相關(guān)的域名進(jìn)行DNS解析。

Talos介紹

Talos團(tuán)隊(duì)由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專家組成，他們分析評(píng)估黑客活動(dòng)，入侵企圖，惡意軟件以及漏洞的最新趨勢(shì)。包括ClamAV團(tuán)隊(duì)和一些標(biāo)準(zhǔn)的安全工具書的作者中最知名的安全專家，都是Talos的成員。這個(gè)團(tuán)隊(duì)同時(shí)得到了Snort、ClamAV、Senderbase.org和Spamcop.net社區(qū)的龐大資源支持，使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)。也為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持。