Radware深度解讀肆虐全球的WannaCry勒索攻擊

　　2017年5月12日（上周五），勒索軟件變體WannaCrypt惡意軟件（也作WCry、WannaCry或WanaCrypt0r）在全球范圍內爆發(fā)，攻擊目標是全球范圍內的電腦，并成功擊垮了全球數十家企業(yè)。攻擊受害者包括中國的大學(xué)、俄羅斯聯(lián)邦內政部、英國國家醫療服務(wù)系統以及包括聯(lián)邦快遞、西班牙電信公司Telefonica和法國汽車(chē)制造商Renault等在內的企業(yè)。

　　Radware ERT研究團隊針對這一持續肆虐的惡意軟件做了深入研究分析，本文在概述了該惡意軟件的運作方式以及Radware的分析結果。

　　此攻擊是利用最新披露的微軟網(wǎng)絡(luò )文件共享SMB協(xié)議漏洞進(jìn)行傳播的。CVE-2017-0144，也就是MS17-010i是微軟于2017年3月14日發(fā)布的安全更新，可以解決這些問(wèn)題并修復遠程代碼執行漏洞。當前的勒索軟件攻擊活動(dòng)針對的是尚未安裝更新的電腦。

　　2017年4月，一個(gè)自稱(chēng)“影子經(jīng)紀人”的黑客團體泄露了包括FuzzBunch在內的多個(gè)開(kāi)發(fā)工具。FuzzBunch框架內部包含EternalBlue和DoublePulsar等Windows遠程漏洞利用工具。

　　影子經(jīng)紀人公布的DoublePulsar SMB是可以分發(fā)惡意軟件、發(fā)送垃圾郵件或發(fā)起攻擊的后門(mén)漏洞。EternalBlue是可以影響微軟服務(wù)器信息塊（SMB）協(xié)議的遠程代碼漏洞。攻擊者還可以利用EternalBlue漏洞獲得未授權訪(fǎng)問(wèn)權限并將WannaCrypt傳播到網(wǎng)絡(luò )中的其他電腦中。

　　攻擊者似乎也利用Fuzzbunch或Metasploit（類(lèi)似工具）模塊發(fā)起攻擊。在Github page 中可以找到所有發(fā)起針對擁有已泄露SMB服務(wù)的電腦的攻擊需要的漏洞利用、有效負載和掃描儀。

　　WannaCry的執行有幾個(gè)步驟：傳播、加密和TOR通信。WannaCry只需獲得一次網(wǎng)絡(luò )訪(fǎng)問(wèn)權限就可以自動(dòng)傳播到其它終端，因此具有創(chuàng )新性，并且可以同其它勒索活動(dòng)一樣，針對盡可能多的攻擊目標。

　　WannaCry可以?huà)呙桦娔X的445端口，利用EternalBlue獲取訪(fǎng)問(wèn)權限，并將WannaCrypt惡意軟件部署到電腦中（利用到了惡意軟件下載器DOUBLEPULSAR）。從這一刻開(kāi)始，蠕蟲(chóng)就可以以相同方式掃描附近的電腦，并開(kāi)始在網(wǎng)絡(luò )中橫向移動(dòng)，將惡意負載轉移到更多終端。

　　與其他已知勒索軟件（Locky、Cryptowall等）一樣，在任何出站通信之前可以第一時(shí)間執行加密過(guò)程。

　　TOR通信并不一定非要通過(guò)HTTP才可以完成，也不是其它階段的初始先決條件。勒索軟件可以嵌入到TOR客戶(hù)端，因此無(wú)需執行出站通信就可以下載。此過(guò)程只用于與C2服務(wù)器共享加密密鑰。

　　終止了第一個(gè)可執行文件并檢查kill switch域之后，WannaCrypt還將終止另一個(gè)可以?huà)呙鐸P地址的可執行文件，并嘗試通過(guò)445/TCP端口中的SMB漏洞連接到這些設備中。如果網(wǎng)絡(luò )中存在另一個(gè)易受到攻擊的設備，WannaCrypt就會(huì )連接到該設備并將惡意負載轉移到設備中。

　　每臺被感染電腦的修復成本（贖金）是300美元，以比特幣支付。被感染三天之后，贖金將增加至600美元。在7天時(shí)間到期后，受害者將無(wú)法支付贖金，也無(wú)法解密文件。攻擊者利用CBC模式的定制AES-128加密被感染電腦中的文件。目前尚未有受害者在支付贖金之后得到解密密鑰的消息。通常勒索攻擊活動(dòng)都要有個(gè)性化的比特幣錢(qián)包來(lái)確認誰(shuí)已經(jīng)支付了贖金。在WannaCrypt攻擊中，攻擊者確認受害者是否支付了贖金的的唯一方法就是通過(guò)“聯(lián)系我們”按鈕將自己的交易ID發(fā)送給勒索者。

　　成功感染之后，WannaCrypt就會(huì )執行可以向硬編碼域發(fā)送HTTP GET請求的文件。這就是killswitch。如果請求成功，WannaCrypt將會(huì )退出，并且不會(huì )部署，如果請求失敗，WannaCrypt就會(huì )繼續感染網(wǎng)絡(luò )中的設備。上周五攻擊活動(dòng)開(kāi)始之后，安全研究人員@MalwareTechBlog就注意到了killswitch域尚未注冊。他立即注冊了該域并將請求定向到了口，從而有效地防止了這一惡意軟件變體的進(jìn)一步傳播。

　　對人們來(lái)說(shuō)，敲詐勒索并不新鮮，網(wǎng)絡(luò )空間更是可以讓其繁榮發(fā)展的沃土。僅過(guò)去一年間，勒索攻擊的頻率就增加了一倍，2016年也是勒索成為網(wǎng)絡(luò )攻擊主要動(dòng)機的一年，尤其是在歐洲。2016年，49%的企業(yè)都表示遭受了勒索贖金的勒索軟件感染或DDoS威脅。

　　隨著(zhù)惡意軟件的傳播，黑客很可能還會(huì )定制惡意軟件，這就可能出現更多變體，就像Mirai僵尸網(wǎng)絡(luò )的源代碼在2016年秋季公開(kāi)之后的情況一樣。Virus Total中的WannaCry變體包括（迄今為止有四個(gè)）：

　　

　　1.安裝微軟MS-17-010安全更新：

　　2.分段網(wǎng)絡(luò )/擁有IP的vlans可以實(shí)時(shí)生成特征碼。

　　3.一定要打補丁。

　　4.禁止直接SMB和終端服務(wù)的外部通信或進(jìn)行安全配置和監控。

　　5.考慮阻斷進(jìn)行外部通信的445端口。

　　6.禁用企業(yè)內外的TOR通信。

　　7.考慮部署零日防護措施/沙盒解決方案。

　　用戶(hù)需立即利用包含漏洞補丁的微軟MS-17-010安全更新修復電腦。此漏洞十分嚴重，微軟甚至還為此推出了自2014年以來(lái)第一個(gè)針對Windows XP的更新。無(wú)法進(jìn)行更新的用戶(hù)需禁用可以直接連接的SMBv1。打開(kāi)Windows features對話(huà)框并取消選擇SMB 1.0/CIFS File Sharing Support選項（見(jiàn)圖4）。

　　遭受攻擊并需要專(zhuān)家級緊急援助？Radware可以為您提供所需幫助。

　　Radware提供的服務(wù)可以應對安全突發(fā)事件，降低風(fēng)險并且可以在造成不可挽回的損失之前更好地保護操作安全。如果企業(yè)遭受了DDoS攻擊或惡意軟件爆發(fā)，需要緊急援助，可以立即與Radware聯(lián)系 。

　　Radware （NASDAQ:RDWR）是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運營(yíng)商快速應對市場(chǎng)挑戰，保持業(yè)務(wù)的連續性，在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。欲知詳情，請訪(fǎng)問(wèn)：www.radware.com.cn