安天方案:新型“蠕蟲”式勒索軟體“wannacry”的應對措施
一、概述
安天安全研究與應急處理中心(Antiy CERT)發現,北京時間2017年5月12日20時左右,全球爆發大規模勒索軟體感染事件,我國大量行業企業內網大規模感染,教育網受損嚴重,攻擊造成了教學系統癱瘓,甚至包括校園一卡通系統。
據BBC報道,今天全球很多地方爆發一種軟體勒索病毒,只有繳納高額贖金(有的要比特幣)才能解密資料和資料,英國多家醫院中招,病人資料威脅外洩,同時俄羅斯,義大利,整個歐洲,包括中國很多高校……
經過安天CERT緊急分析,判定該勒索軟體是一個名稱為“wannacry”的新家族,目前無法解密該勒索軟體加密的檔案。該勒索軟體迅速感染全球大量主機的原因是利用了基於445埠傳播擴散的SMB漏洞MS17-101,微軟在今年3月份釋出了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公佈的Equation Group(方程式組織)使用的“網路軍火”中包含了該漏洞的利用程式,而該勒索軟體的攻擊者或攻擊組織在借鑑了該“網路軍火”後進行了這次全球性的大規模攻擊事件。
安天CERT在2017年4月14日釋出的《2016年網路安全威脅的回顧與展望》[1]中提到“網路軍火”的擴散全面降低攻擊者的攻擊成本和勒索模式帶動的蠕蟲的回潮不可避免等觀點。結果未滿1個月,安天的這種“勒索軟體+蠕蟲”的傳播方式預測即被不幸言中,並迅速進入全球性的感染模式。
安天依託對“勒索軟體”的分析和預判,不僅能夠有效檢測防禦目前“勒索軟體”的樣本和破壞機理,還對後續“勒索軟體”可能使用的技巧進行了佈防。安天智甲終端防禦系統完全可以阻止此次勒索軟體新家族“wannacry”加密使用者磁碟檔案。
二、事件分析
經過安天CERT緊急分析,判定該勒索軟體是一個名稱為“wannacry”的新家族,目前無法解密該勒索軟體加密的檔案。該勒索軟體迅速感染全球大量主機的原因是利用了基於445埠傳播擴散的SMB漏洞MS17-101,微軟在今年3月份釋出了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公佈的Equation Group(方程式組織)使用的“網路軍火”中包含了該漏洞的利用程式,而該勒索軟體的攻擊者或攻擊組織在借鑑了該“網路軍火”後進行了些次全球性的大規模攻擊事件。
當系統被該勒索軟體入侵後,彈出勒索對話方塊:
圖1 勒索介面
加密系統中的照片、圖片、文件、壓縮包、音訊、視訊、可執行程式等幾乎所有型別的檔案,被加密的檔案字尾名被統一修改為“.WNCRY”。
圖 2 加密後的檔名
攻擊者極其囂張,號稱“除攻擊者外,就算老天爺來了也不能恢復這些文件” (該勒索軟體提供免費解密數個加密檔案以證明攻擊者可以解密加密檔案,“點選 <Decrypt> 按鈕,就可以免費恢復一些文件。”該勒索軟體作者在介面中釋出的宣告表示,“3天內付款正常,三天後翻倍,一週後不提供恢復”)。現實情況非常悲觀,勒索軟體的加密強度大,沒有金鑰的情況下,暴力破解需要極高的運算量,基本不可能成功解密。
圖 3 可解密數個檔案
該勒索軟體採用包括英語、簡體中文、繁體中文等28種語言進行“本地化”。
圖 4 28種語言
該勒索軟體會將自身複製到每個資料夾下,並重命名為“@[email protected]”。同時衍生大量語言配置等檔案:
圖5 衍生檔案
該勒索軟體AES和RSA加密演算法,加密的檔案以“WANACRY!”開頭:
圖6 加密檔案
加密如下字尾名的檔案:
| .PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG |
注:該勒索軟體的部分版本在XP系統下因檔案釋放未成功而未加密使用者檔案。
圖7
三、臨時解決方案
1、開啟控制面板-系統與安全-Windows防火牆,點選左側啟動或關閉Windows防火牆
圖8
2、選擇啟動防火牆,並點選確定
圖9
3、點選高階設定
圖10
4、點選入站規則,新建規則
圖11
5、選擇埠,下一步
圖12
6、特定本地埠,輸入445,下一步
圖13
7、選擇阻止連線,下一步
圖14
8、配置檔案,全選,下一步
圖15
9、名稱,可以任意輸入,完成即可。
圖16
3.2 XP系統的處理流程
1、依次開啟控制面板,安全中心,Windows防火牆,選擇啟用
圖17
2、點選開始,執行,輸入cmd,確定執行下面三條命令
| net stop rdr
net stop srv net stop netbt |
3、由於微軟已經不再為XP系統提供系統更新,建議使用者儘快升級到高版本系統。
四、安天的有效應對策略建議
安天CERT曾釋出多篇勒索軟體報告[2]:
《揭開勒索軟體的真面目》
《”攻擊WPS樣本”實為敲詐者》
《郵件傳送js指令碼傳播敲詐者木馬的分析報告》
《首例具有中文提示的比特幣勒索軟體”LOCKY”》
《多起利用POWERSHELL傳播惡意程式碼的事件分析》
《勒索軟體簡史》[3]
安天CERT曾在2004年繪製了當時的主流蠕蟲與傳播入口示意圖,該圖曾被多位研究者引用。可以肯定的是,儘管其中很多方式在DEP和ASLR等安全強化措施下已經失效,但存在問題的老版本系統依然存在。勒索模式帶動的蠕蟲回潮不可避免,同時利用現有僵屍網路分發,針對新興IoT場景漏洞傳播和製造危害等問題都會廣泛出現。而從已經發生的事件來看,被敲詐者不僅包括終端使用者,而且在大規模使用者被綁架後,廠商也遭到敲詐。
圖18 蠕蟲時代的傳播入口到勒索軟體的傳播入口
圖19 需要警惕的勒索軟體入口
勒索軟體給國內政企網路安全也帶來了新的挑戰。在較長時間內,國內部分政企機構把安全的重心放在類似網站是否被篡改或DDoS等比較容易被感知和發現的安全事件上,但對網路內部的竊密威脅和資產侵害則往往不夠重視,對惡意程式碼治理更投入不足。因為多數惡意程式碼感染事件難以被直觀地發現,但“敲詐者”以端點為侵害目標,其威脅後果則粗暴可見。同時,對於類似威脅,僅僅依靠網路攔截是不夠的,必須強化端點的最後一道防線,必須強調終端防禦的有效迴歸。安天智甲終端防禦系統研發團隊依託團隊對“敲詐者”的分析和預判,依託安天反病毒引擎和主動防禦核心,完善了多點佈防,包括文件訪問的程序白名單、批量檔案篡改行為監控、誘餌檔案和快速檔案鎖定等。經過這些功能的強化,安天不僅能夠有效檢測防禦目前“敲詐者”的樣本,並能夠分析其破壞機理,還對後續“敲詐者”可能使用的技巧進行了佈防。除了PC端的防護產品,安天AVL TEAM對Android平臺的反勒索技術做了很多前瞻性的研究工作,並應用於安天移動反病毒引擎中。安天能在網路流量測使用探海威脅檢測系統檢測勒索軟體的傳播。
金錢夜未眠,在巨大的經濟利益驅使下,未來勒索軟體的傳播途徑和破壞方式也會變得愈加複雜和難以防範。作為安天智甲的開發者,我們期望幫助更多使用者防患於未然。
五、完善內網縱深防禦體系和能力勢在必行
從NSA網路軍火洩露ETERNALBLUE漏洞利用工具,到本次利用相關漏洞傳播的勒索軟體全球爆發,安天在本年度首次啟動了A級風險預警到大規模安全風險應急。
這是自心臟出血、破殼和mirai之後,安天又一次啟動A級風險應急,併為本次事件逐步從A級安全風險提升到大規模A級安全災難。
在過去幾年間,類似“紅色程式碼”、“震盪波”、“衝擊波”等大規模蠕蟲感染帶來的網路擁塞,系統大面積異常等事件日趨減少。而對基於PC節點的大規模僵屍網路的關注也開始不斷下降,類似Mirai等IoT僵屍網路開始成為注意力的焦點。這使傳統IT網路開始陷入一種假想的“平靜”當中。由於Windows自身在DEP、ASLR等方面的改善, 使一擊必殺的系統漏洞確實在日趨減少,主流的攻擊面也開始嚮應用開始轉移。在這種表面上的平靜之中,以竊密、預製為目的的APT攻擊,則由於其是高度隱祕的、難以為IT資產的管理者感知到的攻擊,始終未能得到足夠的重視。而黑產犯罪的長尾化,針對性的特點,也使其並不依賴極為龐大的受害人群分佈,即可獲得穩定的黑色收益。因此在過去幾年,內網安全風險是圍繞高度隱蔽性和定向性展開的,這種風險難以感知的特點,導致內網安全未得到有效的投入和重視。也為導致今天的大規模安全災難形成了必然基礎。勒索軟體的一大特點,是其威脅後果是直接可見的。這種極為慘烈的損失,昭示了內網安全的欠賬。也說明我們長期在簡單的邊界防護、物理隔離和內部的好人假定的基礎上經營出安全圖景,是一種“眼不見為淨”式的自欺,無法通過攻擊者的檢驗。
當前,我國在內網安全體系上的能力缺陷,一方面是安全產品未能得到全面部署和有效使用,另一方面則首先是其規劃建設中沒有落實“三同步”的原則,缺少基礎的安全架構和。安天、360等能力型安全廠商共同認同的滑動標尺模型,認為安全能力可以劃分成架構安全、被動防禦、積極防禦、威脅情報等層次。各層次構成一個有機的整體,網路安全規劃以基礎的安全架構和可靠的被動防禦手段為基礎,疊加有效的積極防禦和威脅情報手段。如果沒有架構安全和被動防禦的基礎支撐,那麼上層能力難以有效發揮;如果沒有積極防禦和威脅情報的有效引入,僅靠基礎措施也無法有效的對抗深度的威脅。每個安全層次解決不同的問題,有不同的價值。相對更低的層次付出的成本更低,但解決的問題更基礎廣泛。從網路安全投入上看,越是網路初期越要打好底層的工作,而越是保障高等級的資產,就需要在積極防禦和威脅層面做出投入延展。
習近平總書記在4.19網路安全與資訊化工作座談會上已經告誡我們“網路安全的威脅來源和攻擊手段不斷變化,那種依靠裝幾個安全裝置和安全軟體就想永保安全的想法已不合時宜,需要樹立動態、綜合的防護理念
並特別指出了 “物理隔離”防線可被跨網入侵”等若干值得關注的安全風險。要求我們全天候全方位感知網路安全態勢。
在2月17日國家安全工作座談會上,總書記又進一步強調要“實現全天候全方位感知和有效防護”。
防護的有效性最終要在與攻擊者的對抗中檢驗,儘管這次事件帶來的損失已經是非常慘痛的,但我們需要警醒的是,相對更為深度、隱蔽的針對關鍵資訊基礎設施的攻擊,這種後果可見的大規模災難依然是一種淺層次風險。有效完善縱深防禦體系和能力勢在必行。
附錄:
[1] 來源:《2016年網路安全威脅的回顧與展望》
[2] 來源:安天安全響應報告
[3] 《中國資訊保安》雜誌2017年第4期