重磅｜安恆信息「永恆之藍」勒索病毒安全事件報告

2017-05-14 安恆信息

1.背景

北京時間2017年05月12日，安恆信息監測到黑客利用NSA黑客武器庫泄漏的「永恆之藍」工具發起的網絡攻擊事件：大量伺服器和個人PC感染病毒後被遠程控制，成為不法分子的比特幣挖礦機（挖礦會耗費大量計算資源，導致機器性能降低），甚至被安裝勒索軟體，磁碟文件會被病毒加密為.onion或者.WNCRY後綴，用戶只有支付高額贖金後才能解密恢復文件，對個人及企業重要文件數據造成嚴重損失。

受感染圖片如下所示：

「永恆之藍」工具利用的是微軟Windows作業系統的SMBv1協議中的安全漏洞。

未經身份驗證的攻擊者可以向目標機器發送特製報文觸發緩衝區溢出，導致在目標機器上遠程執行任意代碼。

「永恆之藍」工具會掃描開放445文件共享埠的Windows機器，只要用戶開機上網，黑客就可能在電腦和伺服器中植入勒索軟體。

之前國內曾多次爆發利用445埠傳播的蠕蟲，運營商對個人用戶封掉此埠；但國內特定行業的網絡無此限制，存在大量暴露445埠的機器，因此也成為了此次感染事件的重災區，已經有大量該行業網絡的用戶報告個人PC被安裝了勒索軟體。

此外，根據國外媒體的報導，目前英國、美國、俄羅斯、西班牙、義大利、越南、台灣等國家和地區也出現了被感染的情況。

友情提示：根據安恆安全研究院和安全服務團隊的分析顯示，目前很多針對「永恆之藍」勒索病毒所開發的免疫工具有些沒有起到免疫的效果。

機器感染了「永恆之藍」勒索軟體後，最穩妥的辦法就是斷網後重裝系統，切勿要盲目支付贖金。

此外，不要點擊不明連結，不要下載不明郵件，不要打開不明郵件。

2.影響範圍

MS17-010 漏洞主要影響以下作業系統：

桌面版本作業系統：

• Windows 2000

• Windows XP

• Windows Vista

• Windows7

• Windows8

• Windows8.1

• Windows10

伺服器版本作業系統：

• Windows Server 2000

• Windows Server 2003

• Windows Server 2008

• Windows Server 2012

• Windows Server 2016

根據安恆信息安全研究院對全球IP位址的掃描，發現全球有近300萬台電腦開放445埠，其全球分布情況如下圖：

全球排名前20位的國家如下圖所示：

而中國國內，有近25萬的電腦系統將445埠暴露在公網上，各省份分布如下圖所示：

全國排名前十的省份如下圖所示：

3.檢測方法

由於「永恆之藍」的利用代碼主要針對Windows XP、Windows7、Windows Server 2008等，這些版本的作業系統占桌面、伺服器作業系統的大部分，因此此次事件對於Windows的影響非常嚴重。

受影響的Windows作業系統版本只要打開了445埠、且沒有安裝MS17-010補丁，則確認會受到影響。

埠掃描方法：

# nmap -sS -p 445 -vv 192.168.1.1/24

或者使用其他埠掃描工具

例如：Softperfect Network Scanner （https://www.softperfect.com/）

配置掃描埠為445：

漏洞檢測PoC腳本：

https://github.com/countercept/doublepulsar-detection-script

運行結果為「DOUBLEPULSAR SMB IMPLANT DETECTED!!!」說明系統存在漏洞：

4.安恆信息解決方案

安恆信息的明御APT攻擊（網絡戰）預警平台已經支持對「永恆之藍」勒索病毒的檢測。

建議APT產品用戶升級到V2.0.29或之後版本，同時開啟雲端，在線實時更新安全策略。

請APT產品用戶關注MS17-010的 「SMB遠程溢出攻擊」 和 「SMB遠程溢出攻擊成功」的兩個告警，尤其是「SMB遠程溢出攻擊成功」的告警。

如果出現了此告警，表示用戶系統已經被入侵，很可能被黑客遠程控制。

5.應急處置

5.1 對於已經感染的系統

• 斷開已經感染的主機系統的網絡連接，防止進一步擴散；

• 優先檢查未感染主機的漏洞狀況，做好漏洞加固工作後方可恢復網絡連接。
  
  

• 已經感染終端，根據終端數據重要性決定處置方式，如果重新安裝系統則建議完全格式化硬碟、使用全新作業系統、完善作業系統補丁、安裝防病毒軟體並通過檢查確認無相關漏洞後再恢復網絡連接。
  
  

5.2 對於未感染的系統

注意：以下操作有先後順序，請逐步開展

• [* 非常重要 *] 拔掉網線之後再開機啟動

• 做好重要文件的備份工作（最好備份到存儲介質中）

• 開啟系統防火牆，並設置阻止向 445 埠進行連接，可以使用以下命令開展：

方法一：

echo "請務必以管理員身份運行"

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp

localport=445 action=block

方法二：

Windows 32 位關閉 445 埠批處理（bat）：

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /vSMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc config LanmanServer start=disabled&&net stop lanmanserver /y

Windows x64 位關閉 445 埠批處理（bat）：

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /vSMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc config LanmanServer start=disabled&&net stop lanmanserver /y

新建文本文檔，然後複製以上腳本內容，另存為【.bat】格式的文件，並右鍵【管理員運行】，待 CMD 對話框消失後，重啟電腦即可。

• 如無必需，建議關閉 SMB 共享服務

• 打開系統自動更新，並檢測系統補丁進行安裝，如果是內網環境可以採用離線補丁方式更新

• 安裝殺毒軟體並升級病毒庫；

• 增強個人主機病毒防範意識，不隨意打開位置來源的文件，關閉移動存儲自動播放功能等

5.3 網絡層隔離

• 邊界交換機、路由器、防火牆等設備禁止雙向 135/137/139/445 埠的TCP 連接

• 內網核心主幹交換路由設備禁止雙向 135/137/139/445 埠的 TCP 連接

• 更新入侵防禦、入侵檢測、APT 等安全設備漏洞庫，開啟防禦策略

5.4 離線補丁下載地址

Security Update for Windows XP SP3 (KB4012598)

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

Security Update for Windows Server 2003 (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

Security Update for Windows Server 2003 for x64 Systems(KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

Security Update for Windows 7 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Security Update for Windows 7 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Security Update for Windows Server 2008 R2 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Security Update for Windows10 (KB4012606)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

Security Update for Windows10 x64 (KB4012606)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

附錄：安恆信息處理「永恆之藍」勒索病毒時間表

2017年4月20日09:00

安恆信息就NSA黑客工具庫中的SMB協議漏洞利用情況做全國範圍的統計，並向國家相關職能部門提供了統計報告

2017年5月13日06:10

產品組確認明御APT攻擊（網絡戰）預警平台和玄武盾均已支持對「永恆之藍」勒索病毒的檢測和防範

2017年5月13日12:12

發布「永恆之藍」勒索病毒爆發緊急預警

2017年5月13日 17:00

發布「永恆之藍」勒索病毒爆發安全事件應急處置方案

2017年5月14日02:15

完成全球範圍開放445埠統計

2017年5月14日 09:00

發布「永恆之藍」勒索病毒安全事件報告