Radware深度解讀肆虐全球的WannaCry勒索攻擊

　　2017年5月12日（上周五），勒索軟件變體WannaCrypt惡意軟件（也作WCry、WannaCry或WanaCrypt0r）在全球范圍內(nèi)爆發(fā)，攻擊目標(biāo)是全球范圍內(nèi)的電腦，并成功擊垮了全球數(shù)十家企業(yè)。攻擊受害者包括中國的大學(xué)、俄羅斯聯(lián)邦內(nèi)政部、英國國家醫(yī)療服務(wù)系統(tǒng)以及包括聯(lián)邦快遞、西班牙電信公司Telefonica和法國汽車制造商Renault等在內(nèi)的企業(yè)。

　　Radware ERT研究團(tuán)隊(duì)針對這一持續(xù)肆虐的惡意軟件做了深入研究分析，本文在概述了該惡意軟件的運(yùn)作方式以及Radware的分析結(jié)果。

　　此攻擊是利用最新披露的微軟網(wǎng)絡(luò)文件共享SMB協(xié)議漏洞進(jìn)行傳播的。CVE-2017-0144，也就是MS17-010i是微軟于2017年3月14日發(fā)布的安全更新，可以解決這些問題并修復(fù)遠(yuǎn)程代碼執(zhí)行漏洞。當(dāng)前的勒索軟件攻擊活動(dòng)針對的是尚未安裝更新的電腦。

　　2017年4月，一個(gè)自稱“影子經(jīng)紀(jì)人”的黑客團(tuán)體泄露了包括FuzzBunch在內(nèi)的多個(gè)開發(fā)工具。FuzzBunch框架內(nèi)部包含EternalBlue和DoublePulsar等Windows遠(yuǎn)程漏洞利用工具。

　　影子經(jīng)紀(jì)人公布的DoublePulsar SMB是可以分發(fā)惡意軟件、發(fā)送垃圾郵件或發(fā)起攻擊的后門漏洞。EternalBlue是可以影響微軟服務(wù)器信息塊（SMB）協(xié)議的遠(yuǎn)程代碼漏洞。攻擊者還可以利用EternalBlue漏洞獲得未授權(quán)訪問權(quán)限并將WannaCrypt傳播到網(wǎng)絡(luò)中的其他電腦中。

　　攻擊者似乎也利用Fuzzbunch或Metasploit（類似工具）模塊發(fā)起攻擊。在Github page 中可以找到所有發(fā)起針對擁有已泄露SMB服務(wù)的電腦的攻擊需要的漏洞利用、有效負(fù)載和掃描儀。

　　WannaCry的執(zhí)行有幾個(gè)步驟：傳播、加密和TOR通信。WannaCry只需獲得一次網(wǎng)絡(luò)訪問權(quán)限就可以自動(dòng)傳播到其它終端，因此具有創(chuàng)新性，并且可以同其它勒索活動(dòng)一樣，針對盡可能多的攻擊目標(biāo)。

　　WannaCry可以掃描電腦的445端口，利用EternalBlue獲取訪問權(quán)限，并將WannaCrypt惡意軟件部署到電腦中（利用到了惡意軟件下載器DOUBLEPULSAR）。從這一刻開始，蠕蟲就可以以相同方式掃描附近的電腦，并開始在網(wǎng)絡(luò)中橫向移動(dòng)，將惡意負(fù)載轉(zhuǎn)移到更多終端。

　　與其他已知勒索軟件（Locky、Cryptowall等）一樣，在任何出站通信之前可以第一時(shí)間執(zhí)行加密過程。

　　TOR通信并不一定非要通過HTTP才可以完成，也不是其它階段的初始先決條件。勒索軟件可以嵌入到TOR客戶端，因此無需執(zhí)行出站通信就可以下載。此過程只用于與C2服務(wù)器共享加密密鑰。

　　終止了第一個(gè)可執(zhí)行文件并檢查kill switch域之后，WannaCrypt還將終止另一個(gè)可以掃描IP地址的可執(zhí)行文件，并嘗試通過445/TCP端口中的SMB漏洞連接到這些設(shè)備中。如果網(wǎng)絡(luò)中存在另一個(gè)易受到攻擊的設(shè)備，WannaCrypt就會(huì)連接到該設(shè)備并將惡意負(fù)載轉(zhuǎn)移到設(shè)備中。

　　每臺(tái)被感染電腦的修復(fù)成本（贖金）是300美元，以比特幣支付。被感染三天之后，贖金將增加至600美元。在7天時(shí)間到期后，受害者將無法支付贖金，也無法解密文件。攻擊者利用CBC模式的定制AES-128加密被感染電腦中的文件。目前尚未有受害者在支付贖金之后得到解密密鑰的消息。通常勒索攻擊活動(dòng)都要有個(gè)性化的比特幣錢包來確認(rèn)誰已經(jīng)支付了贖金。在WannaCrypt攻擊中，攻擊者確認(rèn)受害者是否支付了贖金的的唯一方法就是通過“聯(lián)系我們”按鈕將自己的交易ID發(fā)送給勒索者。

　　成功感染之后，WannaCrypt就會(huì)執(zhí)行可以向硬編碼域發(fā)送HTTP GET請求的文件。這就是killswitch。如果請求成功，WannaCrypt將會(huì)退出，并且不會(huì)部署，如果請求失敗，WannaCrypt就會(huì)繼續(xù)感染網(wǎng)絡(luò)中的設(shè)備。上周五攻擊活動(dòng)開始之后，安全研究人員@MalwareTechBlog就注意到了killswitch域尚未注冊。他立即注冊了該域并將請求定向到了口，從而有效地防止了這一惡意軟件變體的進(jìn)一步傳播。

　　對人們來說，敲詐勒索并不新鮮，網(wǎng)絡(luò)空間更是可以讓其繁榮發(fā)展的沃土。僅過去一年間，勒索攻擊的頻率就增加了一倍，2016年也是勒索成為網(wǎng)絡(luò)攻擊主要?jiǎng)訖C(jī)的一年，尤其是在歐洲。2016年，49%的企業(yè)都表示遭受了勒索贖金的勒索軟件感染或DDoS威脅。

　　隨著惡意軟件的傳播，黑客很可能還會(huì)定制惡意軟件，這就可能出現(xiàn)更多變體，就像Mirai僵尸網(wǎng)絡(luò)的源代碼在2016年秋季公開之后的情況一樣。Virus Total中的WannaCry變體包括（迄今為止有四個(gè)）：

　　

　　1.安裝微軟MS-17-010安全更新：

　　2.分段網(wǎng)絡(luò)/擁有IP的vlans可以實(shí)時(shí)生成特征碼。

　　3.一定要打補(bǔ)丁。

　　4.禁止直接SMB和終端服務(wù)的外部通信或進(jìn)行安全配置和監(jiān)控。

　　5.考慮阻斷進(jìn)行外部通信的445端口。

　　6.禁用企業(yè)內(nèi)外的TOR通信。

　　7.考慮部署零日防護(hù)措施/沙盒解決方案。

　　用戶需立即利用包含漏洞補(bǔ)丁的微軟MS-17-010安全更新修復(fù)電腦。此漏洞十分嚴(yán)重，微軟甚至還為此推出了自2014年以來第一個(gè)針對Windows XP的更新。無法進(jìn)行更新的用戶需禁用可以直接連接的SMBv1。打開Windows features對話框并取消選擇SMB 1.0/CIFS File Sharing Support選項(xiàng)（見圖4）。

　　遭受攻擊并需要專家級緊急援助？Radware可以為您提供所需幫助。

　　Radware提供的服務(wù)可以應(yīng)對安全突發(fā)事件，降低風(fēng)險(xiǎn)并且可以在造成不可挽回的損失之前更好地保護(hù)操作安全。如果企業(yè)遭受了DDoS攻擊或惡意軟件爆發(fā)，需要緊急援助，可以立即與Radware聯(lián)系 。

　　Radware （NASDAQ:RDWR）是為虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心提供應(yīng)用交付和應(yīng)用安全解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應(yīng)用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬家企業(yè)和運(yùn)營商快速應(yīng)對市場挑戰(zhàn)，保持業(yè)務(wù)的連續(xù)性，在實(shí)現(xiàn)最高生產(chǎn)效率的同時(shí)有效降低成本。欲知詳情，請?jiān)L問：www.radware.com.cn