2017年5月12日起, 全球性爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码, 经研究发现这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。
【感染全球的勒索信息提示】
利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内爆发。因此,运营商很早就针对个人用户将445端口封闭,但是教育网并未作此限制,仍然存在大量开放的445端口。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区!
目前,亚信安全已截获WannaCry/Wcry勒索软件,并将其命名为:RANSOM_WANA.A 和RANSOM_WCRY.I。早在5月2日,亚信安全服务器深度安全防护系统Deep Security 和亚信安全深度威胁发现设备TDA 已发布补丁能够抵御该蠕虫在内网的传播。
据亚信安全中国病毒响应中心监测:该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份发布了该漏洞的补丁。2017年4月黑客组织影子经纪人(Shadow Brokers)公布的方程式组织(Equation Group)使用的“EternalBlue”中包含了该漏洞的利用程序,而该勒索软件的攻击者在借鉴了该“EternalBlue”后进行了这次全球性的大规模勒索攻击事件。
针对此次“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件,我们目前提出相关产品的应对措施及风险应对方案:
◆亚信安全深度威胁发现设备TDA
TDA于2017年4月26日已发布检测规则(Rule ID 2383),针对透过微软SMB远程代码执行漏洞CVE-2017-0144(MS17-010)所导致的相关网络攻击进行检测。利用此漏洞的攻击包含前期的 EternalBlue 和近期大量感染的勒索病毒 WannaCry/Wcry。
TDA 的内网攻击检测能力是针对源头的零日漏洞进行实时有效的网络攻击行为检测,让用户能快速从网络威胁情报的角度定位内网遭受攻击的终端,以实施相对应的响应措施。同时,用户可透过产品联动方式与亚信安全终端安全产品 OfficeScan 以及亚信安全网关产品 DeepEdge 进行有效联动以阻断其攻击。
◆亚信安全服务器深度安全防护系统Deep Security
针对微软远程代码执行漏洞[1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)], Deep Security在5月2日就已发布了针对所有Windows 系统的IPS策略,用户只需要对虚拟化系统做一次"建议扫描"操作,就能自动应用该策略,无论是有代理还是无代理模式,都能有效防护该勒索软件。
◆亚信安全深度威胁安全网关Deep Edge
Deep Edge在4月26日就发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则 (规则名称:微软MS17 010 SMB远程代码执行1-4 规则号:1133635,1133636,1133637,1133638)。可在网络边界及内网及时发现并拦截此次加密勒索软件攻击。
◆亚信安全深度威胁邮件网关DDEI
针对加密勒索软件攻击,用户需要在Web和Mail两个入口严加防范。虽然此次攻击是黑客利用系统漏洞发起的勒索软件攻击,只需在Web渠道通过IPS或防火墙规则即可拦截,但广大用户切不可掉以轻心,因为还有大量的勒索软件攻击是通过邮件渠道发起的,我们还需要在邮件入口处加以防范,防止勒索软件卷土重来。
◆亚信安全防毒墙网络版OfficeScan
针对亚信安全OfficeScan,目前各个版本可以通过更新最新病毒库进行拦截该勒索病毒。同时即将于6月底发布的OfficeScan 12测试版,在使用机器学习引擎不更新病毒库的环境中,已能够成功拦截该勒索软件。机器学习引擎使用人工智能技术,通过海量数据训练而成,可以有效甄别恶意软件特征,不需要等待病毒库,就可以帮助用户有效的拦截各种未知的威胁软件。
其他防护建议:
未升级操作系统的处理方式(不推荐,仅能临时缓解):启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。升级操作系统的处理方式(推荐):建议广大师生使用自动更新升级到Windows的最新版本。
教育网安全缓解措施:
在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接;在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。
建议加强系统加固:
及时升级操作系统到最新版本;勤做重要文件非本地备份;停止使用Windows XP、Windows 2003等微软已不再提供安全更新服务的操作系统。
亚信安全详解WannaCry/Wcry勒索软件感染流程
◆利用SMB远程代码执行漏洞感染系统;
◆在被感染系统中执行恶意文件,并开启服务;
◆恶意文件执行后,释放真正的勒索软件;
◆加密系统中的文件,并提示勒索信息;
◆被加密后的文件扩展名被统一改为“.WNCRY”,勒索软件攻击者索要相当于300美元的比特币赎金。
【WannaCry/Wcry勒索软件感染流程】
此次勒索软件事件特别针对高校产生了极大影响,可能会在更广阔的终端消费者群体内爆发,亚信安全提醒广大用户提高安全防范意识,做好数据备份策略,采用更加积极主动的工具制定事前、事中、事后的安全策略,才能应对隐藏在网络世界中的不法分子。