CIO
|
PCDIY!
|
旗標圖書
|
旗景數位影像
|
讀者服務
首 頁
即時新聞
業界動態
最新活動
企業採購
精選文章
線上教學
品牌活動
程式碼下載
雲端運算智庫
最近新增的
精選文章
AP內建AI引擎 Mist Cloud平台分析能力強 Juniper Mist AI領先全球 改善WiFi穩定、效能首選
解決IT供應鏈攻擊
內部威脅的七個警訊
遠百以專案辦公室推動數位體驗
多廠牌與多重電信業者網路架構的挑戰與機會
德明科大啟用電貿暨AI實習基地 ViewSonic ViewBoard 智慧互動電子白板 扮要角
淺談計算誤差
秀傳醫療體系統 以Lenovo HyperConverged HX 超融合架構扎穩智慧醫療發展基礎
模組化設計 偵測率達99.99% 全面防杜惡意郵件入侵 首選Cellopoint Email UTM
滿足網路管理與檔案安全傳輸需求,Ipswitch的MOVEit及WhatsUp Gold一次完整提供
來自學界的資料分析利器 - Weka 與 R
北醫建置肺癌資料庫,透過深度標註訓練AI,協助醫師早期發現癌症
北榮AI門診上路!人工智慧判讀腦瘤,有效縮短醫師確診時間
台灣智慧機器人玩具聯盟攜手英閱音躍研創 推廣T. Robot程式教育,協助國中小學扎根培養運算思維
一場與時間賽跑的戰役 ,人工智慧加速心血管疾病診斷
最多人點閱的
精選文章
免費IT建置--Linux系統操作與管理
免費IT建置--網頁伺服器的完美組合LAMP(下)
初探Hadoop開放原始碼平台環境
Linux下的防火牆(基礎篇)
免費IT建置--檔案共享與檔案伺服器
Linux下的防火牆(進階篇)
N.Y.BAGELS CAFE善用SAP Business One
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 影片播放器範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 線上查詢匯率
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 擲骰子遊戲
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 音樂播放器範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 來電黑名單
免費IT建置--網頁伺服器的完美組合LAMP(上)
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ 繪圖板範例
手機程式設計入門與應用 Android、iPhone、Windows Mobile─ Matrix應用範例
精選文章 - 網管資安
分享到Plurk
分享到FaceBook
思科Talos深度解析“WannaCry"勒索軟體
文‧圖/Cisco
2017/5/22 下午 12:35:56
據報導稱,全球多家組織遭到了一次嚴重的勒索軟體攻擊,西班牙的Telefonica、英國的國民保健署、以及美國的FedEx等組織紛紛中招。發起這一攻擊的惡意軟體是一種名為“WannaCry”的勒索軟體變種。
該惡意軟體會掃描電腦上的TCP 445埠(Server Message Block/SMB),以類似於蠕蟲病毒的方式傳播,攻擊主機並加密主機上存儲的檔,然後要求以比特幣的形式支付贖金。
此外,Talos還注意到WannaCry樣本使用了DOUBLEPULSAR,這是一個由來已久的後門程式,通常被用於在以前被感染的系統上訪問和執行代碼。這一後門程式允許在系統上安裝和啟動惡意軟體等其他軟體。它通常在惡意軟體成功利用SMB漏洞後被植入,後者已在Microsoft安全公告MS17-010中被修復。在Shadow Brokers近期向公眾開放的工具包中,一種攻擊性漏洞利用框架可利用此後門程式。自這一框架被開放以來,安全行業以及眾多地下駭客論壇已對其進行了廣泛的分析和研究。
WannaCry似乎並不僅僅是利用與這一攻擊框架相關的ETERNALBLUE(永恆之藍)模組,它還會掃描可訪問的伺服器,檢測是否存在DOUBLEPULSAR後門程式。如果發現有主機被植入了這一後門程式,它會利用現有的後門程式功能,並使用它來通過WannaCry感染系統。如果系統此前未被感染和植入DOUBLEPULSAR,該惡意軟體將使用ETERNALBLUE嘗試利用SMB漏洞。這就造成了近期在互聯網上觀察到的大規模類似蠕蟲病毒的活動。
組織應確保運行Windows作業系統的設備均安裝了全部補丁,並在部署時遵循了最佳實踐。此外,組織還應確保關閉所有外部可訪問的主機上的SMB埠(139和445)。
請注意,針對這一威脅我們當前還處於調查階段,隨著我們獲知更多資訊,或者攻擊者根據我們的行動作出回應,實際情況將可能發生變化。Talos將繼續積極監控和分析這一情況,以發現新的進展並相應採取行動。因此,我們可能會制定出新的規避辦法,或在稍後調整和/或修改現有的規避辦法。有關最新資訊,請參閱您的Firepower Management Center或Snort.org。
攻擊詳細資訊
我們注意到從東部標準時間早上5點(世界標準時間上午9點)前開始,網路中針對聯網主機的掃描開始急速攀升。
基礎設施分析
Cisco Umbrella研究人員在UTC時間07:24,觀察到來自WannaCry的killswitch功能變數名稱(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com)的第一個請求,此後在短短10小時後,就上升到1,400的峰值水準。
該功能變數名稱組成看起來就像是人為輸入而成,大多數字元均位於鍵盤的上排和中間排。
鑒於此功能變數名稱在整個惡意軟體執行中的角色,與其進行的通信可能被歸類為kill switch功能變數名稱:
以上副程式會嘗試對此功能變數名稱執行HTTP GET操作,如果失敗,它會繼續進行感染操作。然而,如果成功,該副程式將會結束。該功能變數名稱被註冊到一個已知的sinkhole,能夠有效使這一樣本結束其惡意活動。
原始註冊資訊有力證明了這一點,其註冊日期為2017年5月12日:
惡意軟體分析
初始文件mssecsvc.exe會釋放並執行tasksche.exe檔,然後檢查kill switch功能變數名稱。之後它會創建mssecsvc2.0服務。該服務會使用與初次執行不同的入口點執行mssecsvc.exe文件。第二次執行會檢查被感染電腦的IP位址,並嘗試聯接到相同子網內每個IP位址的TCP 445埠。當惡意軟體成功聯接到一台電腦時,將會建立聯接並傳輸資料。我們認為這一網路流量是一種利用程式載荷。已有廣泛報導指出,這一攻擊正在利用最近被洩露的漏洞。Microsoft已在MS17-010公告中修復了此漏洞。我們當前尚未完全瞭解SMB流量,也未完全掌握這一攻擊會在哪些條件下使用此方法進行傳播。
tasksche.exe檔會檢查硬碟,包括映射了盤符的網路共用資料夾和卸除式存放裝置設備,如“C:/”和“D:/”等。該惡意軟體之後會檢查具有附錄中所列尾碼名的檔,然後使用2048位元RSA加密演算法對其進行加密。在加密檔的過程中,該惡意軟體會生成一個新的檔目錄“Tor/”,在其中釋放tor.exe和九個供tor.exe使用的dll檔。此外,它還會釋放兩個額外的檔:taskdl.exe和taskse.exe。前者會刪除暫存檔案,後者會啟動@wanadecryptor@.exe,在桌面上向最終使用者顯示勒索聲明。@wanadecryptor@.exe並不包含在勒索軟體內,其自身也並非勒索軟體,而僅僅是用來顯示勒索聲明。加密由tasksche.exe在後臺完成。
@wanadecryptor@.exe會執行tor.exe文件。這一新執行的進程將會啟動到Tor節點的網路聯接,讓WannaCry能夠通過Tor網路代理發送其流量,從而保持匿名。
與其他勒索軟體變種類似,該惡意軟體也會刪除受害人電腦上的任意卷影副本,以增加恢復難度。它通過使用WMIC.exe、vssadmin.exe和cmd.exe完成此操作。
WannaCry使用多種方法輔助其執行,它使用attrib.exe來修改+h標記(hide),同時使用icacls.exe來賦予所有用戶完全存取權限(“icacls ./grant Everyone:F /T /C /Q”)。
該惡意軟體被設計成一種模組化服務。我們注意到與該勒索軟體相關的可執行檔由不同的攻擊者編寫,而非開發服務模組的人員編寫。這意味著該惡意軟體的結構可能被用於提供和運行不同的惡意載荷。
加密完成後,該惡意軟體會顯示以下勒索聲明。這一勒索軟體非常有趣的一點是,其勒索螢幕是一個可執行檔,而非圖像、HTA檔或文字檔。
組織應該意識到,犯罪分子在收到勒索贖金後,並無義務提供解密秘鑰。Talos強烈呼籲所有被攻擊的人員盡可能避免支付贖金,因為支付贖金的舉動無疑就是在直接資助這些惡意活動的壯大。
規避與預防
希望避免被攻擊的組織應遵循以下建議:
• 確保所有Windows系統均安裝了全部補丁。至少應確保安裝了Microsoft公告MS17-010。
• 根據已知的最佳實踐,具有可通過互聯網公開訪問的SMB(139和445埠)的任意組織應立即阻止入站流量。
此外,我們強烈建議組織考慮阻止到TOR節點的聯接,並阻止網路上的TOR流量。ASA Firepower設備的安全情報源中列出了已知的TOR出口節點。將這些節點加入到黑名單將能夠避免與TOR網路進行出站通信。
除了以上的規避措施外,Talos強烈鼓勵組織採取以下行業標準建議的最佳實踐,以預防此類及其他類似的攻擊活動。
• 確保您的組織運行享有支援的作業系統,以便能夠獲取安全更新。
• 建立有效的補丁管理辦法,及時為終端及基礎設施內的其他關鍵元件部署安全更新。
• 在系統上運行防惡意軟體,確保定期接收惡意軟體簽名更新。
• 實施災難恢復計畫,包括將資料備份到離線保存的設備,並從中進行恢復。攻擊者會經常瞄準備份機制,限制用戶在未支付贖金的情況下恢復其檔的能力。
規避辦法
Snort規則:42329-42332、42340、41978
下方列出了客戶可以檢測並阻止此威脅的其他辦法。
高級惡意軟體防護(AMP)能夠有效避免執行這些攻擊者使用的惡意軟體。
CWS或WSA網路掃描能夠阻止訪問惡意網站,並發現這些攻擊中使用的惡意軟體。
Email Security可以阻止攻擊者在其攻擊活動中發送的惡意電子郵件。
IPS和NGFW的網路安全防護功能可以提供最新的簽名,用來檢測攻擊者發起的惡意網路活動。
AMP Threat Grid能夠説明發現惡意軟體二進位檔案,並在所有思科安全產品中建立防護措施。
Umbrella能夠阻止對與惡意活動相關的功能變數名稱進行DNS解析。
原文:http://blog.talosintelligence.com/2017/05/wannacry.html(英文)
作者:Martin Lee、Warren Mercer、Paul Rascagneres和Craig Williams
Talos介紹
Talos團隊由業界領先的網路安全專家組成,他們分析評估駭客活動,入侵企圖,惡意軟體以及漏洞的最新趨勢。包括ClamAV團隊和一些標準的安全工具書的作者中最知名的安全專家,都是Talos的成員。這個團隊同時得到了Snort、ClamAV、Senderbase.org和Spamcop.net社區的龐大資源支援,使得它成為網路安全行業最大的安全研究團隊。也為思科的安全研究和安全產品服務提供了強大的後盾支援。
回首頁...
關於RUN!PC
|
廣告刊登
|
聯絡我們
|
讀者服務
|
雜誌訂閱
|
出刊&補寄時間
-- Copyright© FLAG INFORMATION CO., LTD. 旗訊科技(股)公司. All rights reserved. 本站圖文著作權所有 未經授權 不得任意轉載使用 --
-- 請使用1024*768螢幕解析度,IE 7.0或firefox 3.0以上瀏覽器,以達到最佳閱讀效果--