重磅|安恆信息「永恆之藍」勒索病毒安全事件報告
文章推薦指數: 80 %
2017-05-14 安恆信息
1.背景
北京時間2017年05月12日,安恆信息監測到黑客利用NSA黑客武器庫泄漏的「永恆之藍」工具發起的網絡攻擊事件:大量伺服器和個人PC感染病毒後被遠程控制,成為不法分子的比特幣挖礦機(挖礦會耗費大量計算資源,導致機器性能降低),甚至被安裝勒索軟體,磁碟文件會被病毒加密為.onion或者.WNCRY後綴,用戶只有支付高額贖金後才能解密恢復文件,對個人及企業重要文件數據造成嚴重損失。
受感染圖片如下所示:
「永恆之藍」工具利用的是微軟Windows作業系統的SMBv1協議中的安全漏洞。
未經身份驗證的攻擊者可以向目標機器發送特製報文觸發緩衝區溢出,導致在目標機器上遠程執行任意代碼。
「永恆之藍」工具會掃描開放445文件共享埠的Windows機器,只要用戶開機上網,黑客就可能在電腦和伺服器中植入勒索軟體。
之前國內曾多次爆發利用445埠傳播的蠕蟲,運營商對個人用戶封掉此埠;但國內特定行業的網絡無此限制,存在大量暴露445埠的機器,因此也成為了此次感染事件的重災區,已經有大量該行業網絡的用戶報告個人PC被安裝了勒索軟體。
此外,根據國外媒體的報導,目前英國、美國、俄羅斯、西班牙、義大利、越南、台灣等國家和地區也出現了被感染的情況。
友情提示:根據安恆安全研究院和安全服務團隊的分析顯示,目前很多針對「永恆之藍」勒索病毒所開發的免疫工具有些沒有起到免疫的效果。
機器感染了「永恆之藍」勒索軟體後,最穩妥的辦法就是斷網後重裝系統,切勿要盲目支付贖金。
此外,不要點擊不明連結,不要下載不明郵件,不要打開不明郵件。
2.影響範圍
MS17-010 漏洞主要影響以下作業系統:
桌面版本作業系統:
-
Windows 2000
-
Windows XP
-
Windows Vista
-
Windows7
-
Windows8
-
Windows8.1
-
Windows10
伺服器版本作業系統:
-
Windows Server 2000
-
Windows Server 2003
-
Windows Server 2008
-
Windows Server 2012
-
Windows Server 2016
根據安恆信息安全研究院對全球IP位址的掃描,發現全球有近300萬台電腦開放445埠,其全球分布情況如下圖:
全球排名前20位的國家如下圖所示:
而中國國內,有近25萬的電腦系統將445埠暴露在公網上,各省份分布如下圖所示:
全國排名前十的省份如下圖所示:
3.檢測方法
由於「永恆之藍」的利用代碼主要針對Windows XP、Windows7、Windows Server 2008等,這些版本的作業系統占桌面、伺服器作業系統的大部分,因此此次事件對於Windows的影響非常嚴重。
受影響的Windows作業系統版本只要打開了445埠、且沒有安裝MS17-010補丁,則確認會受到影響。
埠掃描方法:
# nmap -sS -p 445 -vv 192.168.1.1/24
或者使用其他埠掃描工具
例如:Softperfect Network Scanner (https://www.softperfect.com/)
配置掃描埠為445:
漏洞檢測PoC腳本:
https://github.com/countercept/doublepulsar-detection-script
運行結果為「DOUBLEPULSAR SMB IMPLANT DETECTED!!!」說明系統存在漏洞:
4.安恆信息解決方案
安恆信息的明御APT攻擊(網絡戰)預警平台已經支持對「永恆之藍」勒索病毒的檢測。
建議APT產品用戶升級到V2.0.29或之後版本,同時開啟雲端,在線實時更新安全策略。
請APT產品用戶關注MS17-010的 「SMB遠程溢出攻擊」 和 「SMB遠程溢出攻擊成功」的兩個告警,尤其是「SMB遠程溢出攻擊成功」的告警。
如果出現了此告警,表示用戶系統已經被入侵,很可能被黑客遠程控制。
5.應急處置
5.1 對於已經感染的系統
-
斷開已經感染的主機系統的網絡連接,防止進一步擴散;
-
優先檢查未感染主機的漏洞狀況,做好漏洞加固工作後方可恢復網絡連接。
-
已經感染終端,根據終端數據重要性決定處置方式,如果重新安裝系統則建議完全格式化硬碟、使用全新作業系統、完善作業系統補丁、安裝防病毒軟體並通過檢查確認無相關漏洞後再恢復網絡連接。
5.2 對於未感染的系統
注意:以下操作有先後順序,請逐步開展
-
[* 非常重要 *] 拔掉網線之後再開機啟動
-
做好重要文件的備份工作(最好備份到存儲介質中)
-
開啟系統防火牆,並設置阻止向 445 埠進行連接,可以使用以下命令開展:
方法一:
echo "請務必以管理員身份運行"
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp
localport=445 action=block
方法二:
Windows 32 位關閉 445 埠批處理(bat):
REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /vSMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc config LanmanServer start=disabled&&net stop lanmanserver /y
Windows x64 位關閉 445 埠批處理(bat):
REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /vSMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc config LanmanServer start=disabled&&net stop lanmanserver /y
新建文本文檔,然後複製以上腳本內容,另存為【.bat】格式的文件,並右鍵【管理員運行】,待 CMD 對話框消失後,重啟電腦即可。
-
如無必需,建議關閉 SMB 共享服務
-
打開系統自動更新,並檢測系統補丁進行安裝,如果是內網環境可以採用離線補丁方式更新
-
安裝殺毒軟體並升級病毒庫;
-
增強個人主機病毒防範意識,不隨意打開位置來源的文件,關閉移動存儲自動播放功能等
5.3 網絡層隔離
-
邊界交換機、路由器、防火牆等設備禁止雙向 135/137/139/445 埠的TCP 連接
-
內網核心主幹交換路由設備禁止雙向 135/137/139/445 埠的 TCP 連接
-
更新入侵防禦、入侵檢測、APT 等安全設備漏洞庫,開啟防禦策略
5.4 離線補丁下載地址
Security Update for Windows XP SP3 (KB4012598)
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe
Security Update for Windows Server 2003 (KB4012598)
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe
Security Update for Windows Server 2003 for x64 Systems(KB4012598)
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe
Security Update for Windows 7 (KB4012212)
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Security Update for Windows 7 x64 (KB4012212)
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Security Update for Windows Server 2008 R2 x64 (KB4012212)
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Security Update for Windows10 (KB4012606)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Security Update for Windows10 x64 (KB4012606)
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
附錄:安恆信息處理「永恆之藍」勒索病毒時間表
2017年4月20日09:00
安恆信息就NSA黑客工具庫中的SMB協議漏洞利用情況做全國範圍的統計,並向國家相關職能部門提供了統計報告
2017年5月13日06:10
產品組確認明御APT攻擊(網絡戰)預警平台和玄武盾均已支持對「永恆之藍」勒索病毒的檢測和防範
2017年5月13日12:12
發布「永恆之藍」勒索病毒爆發緊急預警
2017年5月13日 17:00
發布「永恆之藍」勒索病毒爆發安全事件應急處置方案
2017年5月14日02:15
完成全球範圍開放445埠統計
2017年5月14日 09:00
發布「永恆之藍」勒索病毒安全事件報告
濟寧市政府辦關於防止新型電腦病毒侵害的緊急通知
濟寧市人民政府辦公室關於防止新型電腦病毒侵害我市網絡的緊急通知各縣(市、區)人民政府,濟寧高新區、太白湖新區、濟寧經濟技術開發區、曲阜文化建設示範區管委會(推進辦公室),市政府各部門,各大企業,...
Wana 新型惡意軟體病毒爆發,你能中招了嗎?告訴您如何處理
Wana 新型惡意軟體爆發:本次爆發的勒索軟體是一個名稱為「wannacry」的新家族,目前無法解密該勒索軟體加密的文件。黑客利用 NSA 黑客武器庫泄漏的「永恆之藍」工具發起的網絡攻擊事件:大...
勒索病毒蔓延整個全球,目前有人已破解其病毒方式!
5月12日晚,一款名為Wannacry 的蠕蟲勒索軟體襲擊全球網絡,這被認為是迄今為止最巨大的勒索交費活動,影響到近百個國家上千家企業及公共組織。 該軟體被認為是一種蠕蟲變種(也被稱為「Wann...
警惕!比特幣病毒ONION席捲全球!小心你的的電腦中招!
近期國內出現大部分電腦系統被ONION勒索軟體感染情況,被感染的多為WIN7系統,電腦系統受到感染後,磁碟文件會被病毒加密為.onion後綴的文件,只有你支付了高額贖金才能解密恢復文件,如果不在...
高校為何成勒索病毒重災區?微軟為什麼今天緊急發布XP補丁?
日前,國內多所大學學生反饋稱電腦遭遇敲詐軟體攻擊,攻擊者以中文彈窗的形式要求電腦所有者支付價值不菲比特幣解鎖。這種病毒在國內一些高校的教育網、校園網已經造成了影響,致使許多實驗室數據和畢業設計被...
畢業生們都瘋了,讓其論文數據全丟的勒索病毒如何防範?
五月畢業季正在緩緩拉開序幕,同時也是中國千萬大學生忙著畢業論文以及答辯事宜的時候,在離開母校前交出最後一份完美的答卷。但今年的五月畢業季要比以往顯得更慘烈一些,全都是因為一個電腦病毒,一個可以...
新型「蠕蟲」式勒索軟體攻擊分析及處置工作建議
5月12日20時許,英國、義大利、俄羅斯等全球100多個國家爆發比特幣勒索病毒攻擊,我國教育網用戶的大批高校也出現感染情況,眾多師生的電腦文件被病毒加密,只有支付贖金才能恢復,目前已有多個行業單...
勒索病毒來了!中國石油及部分大學已經中招,解決方案如下
近日,一種名為「WannaCry」的勒索病毒在全球範圍內大規模爆發,我國教育、銀行、交通等多個行業也遭受不同程度影響。溫馨提示:由於專業術語較多,需要了解如何解決勒索病毒的解決方案,請直接跳至本...
揭示「永恆之藍」勒索病毒最全真相(附八大安全企業防護方案)
編者按5月12日晚,一款名為「WannaCry」的勒索病毒在全球進行大規模攻擊,目前已知有100多個國家和地區受害,包括醫療系統、快遞公司、石油石化、學校、銀行、警察局等眾多行業受到影響,被攻擊...
「永恆之藍』席捲全球,你的電腦如何防護?
5月12日晚20點,全世界都被「永恆之藍」勒索病毒刷屏了,目前這種電腦勒索病毒正在全球蔓延,此次勒索病毒「WannaCry」事件與以往相比最大的區別在於,勒索病毒結合了蠕蟲的方式進行傳播,傳播...