网易首页 > 网易科技 > 网易科技 > 正文

思科解析勒索病毒:被感染尽可能不支付赎金

0
分享至

网易科技讯5月13日消息,勒索病毒发生后,思科Talos团队解析了“WannaCry"勒索软件,思科表示,犯罪分子在收到勒索赎金后,并无义务提供解密秘钥,呼吁所有被攻击的人员尽可能避免支付赎金,因为支付赎金的举动无疑就是在直接资助这些恶意活动的壮大。

思科建议,确保所有Windows系统均安装了全部补丁,并且关闭所有外部可访问的139和445端口。

以下是文章全文:

博客作者:Martin Lee、Warren Mercer、Paul Rascagneres和Craig Williams


要点综述

据报道称,全球多家组织遭到了一次严重的勒索软件攻击,西班牙的Telefonica、英国的国民保健署、以及美国的FedEx等组织纷纷中招。发起这一攻击的恶意软件是一种名为“WannaCry”的勒索软件变种。

该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB),以类似于蠕虫病毒的方式传播,攻击主机并加密主机上存储的文件,然后要求以比特币的形式支付赎金。

此外,Talos还注意到WannaCry样本使用了DOUBLEPULSAR,这是一个由来已久的后门程序,通常被用于在以前被感染的系统上访问和执行代码。这一后门程序允许在系统上安装和激活恶意软件等其他软件。它通常在恶意软件成功利用SMB漏洞后被植入,后者已在Microsoft安全公告MS17-010中被修复。在Shadow Brokers近期向公众开放的工具包中,一种攻击性漏洞利用框架可利用此后门程序。自这一框架被开放以来,安全行业以及众多地下黑客论坛已对其进行了广泛的分析和研究。

WannaCry似乎并不仅仅是利用与这一攻击框架相关的ETERNALBLUE(永恒之蓝)模块,它还会扫描可访问的服务器,检测是否存在DOUBLEPULSAR后门程序。如果发现有主机被植入了这一后门程序,它会利用现有的后门程序功能,并使用它来通过WannaCry感染系统。如果系统此前未被感染和植入DOUBLEPULSAR,该恶意软件将使用ETERNALBLUE尝试利用SMB漏洞。这就造成了近期在互联网上观察到的大规模类似蠕虫病毒的活动。

组织应确保运行Windows操作系统的设备均安装了全部补丁,并在部署时遵循了最佳实践。此外,组织还应确保关闭所有外部可访问的主机上的SMB端口(139和445)。

请注意,针对这一威胁我们当前还处于调查阶段,随着我们获知更多信息,或者攻击者根据我们的行动作出响应,实际情况将可能发生变化。Talos将继续积极监控和分析这一情况,以发现新的进展并相应采取行动。因此,我们可能会制定出新的规避办法,或在稍后调整和/或修改现有的规避办法。有关最新信息,请参阅您的Firepower Management Center或Snort.org。

攻击详细信息

我们注意到从东部标准时间早上5点(世界标准时间上午9点)前开始,网络中针对联网主机的扫描开始急速攀升。

基础设施分析

Cisco Umbrella研究人员在UTC时间07:24,观察到来自WannaCry的killswitch域名(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com)的第一个请求,此后在短短10小时后,就上升到1,400的峰值水平。

该域名组成看起来就像是人为输入而成,大多数字符均位于键盘的上排和中间排。

鉴于此域名在整个恶意软件执行中的角色,与其进行的通信可能被归类为kill switch域名:

以上子程序会尝试对此域名执行HTTP GET操作,如果失败,它会继续进行感染操作。然而,如果成功,该子程序将会结束。该域名被注册到一个已知的sinkhole,能够有效使这一样本结束其恶意活动。

原始注册信息有力证明了这一点,其注册日期为2017年5月12日:

恶意软件分析

初始文件mssecsvc.exe会释放并执行tasksche.exe文件,然后检查kill switch域名。之后它会创建mssecsvc2.0服务。该服务会使用与初次执行不同的入口点执行mssecsvc.exe文件。第二次执行会检查被感染电脑的IP地址,并尝试联接到相同子网内每个IP地址的TCP 445端口。当恶意软件成功联接到一台电脑时,将会建立联接并传输数据。我们认为这一网络流量是一种利用程序载荷。已有广泛报道指出,这一攻击正在利用最近被泄露的漏洞。Microsoft已在MS17-010公告中修复了此漏洞。我们当前尚未完全了解SMB流量,也未完全掌握这一攻击会在哪些条件下使用此方法进行传播。

tasksche.exe文件会检查硬盘,包括映射了盘符的网络共享文件夹和可移动存储设备,如“C:/”和“D:/”等。该恶意软件之后会检查具有附录中所列后缀名的文件,然后使用2048位RSA加密算法对其进行加密。在加密文件的过程中,该恶意软件会生成一个新的文件目录“Tor/”,在其中释放tor.exe和九个供tor.exe使用的dll文件。此外,它还会释放两个额外的文件:taskdl.exe和taskse.exe。前者会删除临时文件,后者会启动@wanadecryptor@.exe,在桌面上向最终用户显示勒索声明。@wanadecryptor@.exe并不包含在勒索软件内,其自身也并非勒索软件,而仅仅是用来显示勒索声明。加密由tasksche.exe在后台完成。

@wanadecryptor@.exe会执行tor.exe文件。这一新执行的进程将会启动到Tor节点的网络联接,让WannaCry能够通过Tor网络代理发送其流量,从而保持匿名。

与其他勒索软件变种类似,该恶意软件也会删除受害人电脑上的任意卷影副本,以增加恢复难度。它通过使用WMIC.exe、vssadmin.exe和cmd.exe完成此操作。

WannaCry使用多种方法辅助其执行,它使用attrib.exe来修改+h标记(hide),同时使用icacls.exe来赋予所有用户完全访问权限(“icacls ./grant Everyone:F /T /C /Q”)。

该恶意软件被设计成一种模块化服务。我们注意到与该勒索软件相关的可执行文件由不同的攻击者编写,而非开发服务模块的人员编写。这意味着该恶意软件的结构可能被用于提供和运行不同的恶意载荷。

加密完成后,该恶意软件会显示以下勒索声明。这一勒索软件非常有趣的一点是,其勒索屏幕是一个可执行文件,而非图像、HTA文件或文本文件。

组织应该意识到,犯罪分子在收到勒索赎金后,并无义务提供解密秘钥。Talos强烈呼吁所有被攻击的人员尽可能避免支付赎金,因为支付赎金的举动无疑就是在直接资助这些恶意活动的壮大。

规避与预防

希望避免被攻击的组织应遵循以下建议:

•确保所有Windows系统均安装了全部补丁。至少应确保安装了Microsoft公告MS17-010。

•根据已知的最佳实践,具有可通过互联网公开访问的SMB(139和445端口)的任意组织应立即阻止入站流量。

此外,我们强烈建议组织考虑阻止到TOR节点的联接,并阻止网络上的TOR流量。ASA Firepower设备的安全情报源中列出了已知的TOR出口节点。将这些节点加入到黑名单将能够避免与TOR网络进行出站通信。

除了以上的规避措施外,Talos强烈鼓励组织采取以下行业标准建议的最佳实践,以预防此类及其他类似的攻击活动。

•确保您的组织运行享有支持的操作系统,以便能够获取安全更新。

•建立有效的补丁管理办法,及时为终端及基础设施内的其他关键组件部署安全更新。

•在系统上运行防恶意软件,确保定期接收恶意软件签名更新。

•实施灾难恢复计划,包括将数据备份到脱机保存的设备,并从中进行恢复。攻击者会经常瞄准备份机制,限制用户在未支付赎金的情况下恢复其文件的能力。

规避办法

Snort规则:42329-42332、42340、41978

下方列出了客户可以检测并阻止此威胁的其他办法。

高级恶意软件防护(AMP)能够有效避免执行这些攻击者使用的恶意软件。

CWS或WSA网络扫描能够阻止访问恶意网站,并发现这些攻击中使用的恶意软件。

Email Security可以阻止攻击者在其攻击活动中发送的恶意电子邮件。

IPS和NGFW的网络安全防护功能可以提供最新的签名,用来检测攻击者发起的恶意网络活动。

AMP Threat Grid能够帮助发现恶意软件二进制文件,并在所有思科安全产品中建立防护措施。

Umbrella能够阻止对与恶意活动相关的域名进行DNS解析。

相关推荐
热点推荐
《龙珠》里特兰克斯的六大战斗名场面,出场与结尾是巅峰

《龙珠》里特兰克斯的六大战斗名场面,出场与结尾是巅峰

坠入二次元的海洋
2024-03-29 17:02:21
膝盖受伤,再见湖人!紫金军不想看到的还是发生了,詹姆斯很挣扎

膝盖受伤,再见湖人!紫金军不想看到的还是发生了,詹姆斯很挣扎

呆哥聊球
2024-03-29 15:03:15
光伏圈最美二代接班,掌舵千亿商业帝国,仍逃不过被骂“花瓶”?

光伏圈最美二代接班,掌舵千亿商业帝国,仍逃不过被骂“花瓶”?

金融八卦女
2024-03-29 15:01:07
荷兰首相在华表态,不禁售光刻机,若当选北约秘书长将对华友好?

荷兰首相在华表态,不禁售光刻机,若当选北约秘书长将对华友好?

奇思妙想草叶君
2024-03-29 17:52:31
小学生“倒数第一试卷”出圈,任课老师:这娃智商过高,我教不了

小学生“倒数第一试卷”出圈,任课老师:这娃智商过高,我教不了

优米MaMa
2024-03-27 12:40:21
英国人:西方不敢播报的事实,中国高铁4.5万公里,英国0公里

英国人:西方不敢播报的事实,中国高铁4.5万公里,英国0公里

奇葩游戏酱
2024-03-29 02:44:58
创维 EV6 2024 款 520 豪华版车型上市,售 30.68 万元

创维 EV6 2024 款 520 豪华版车型上市,售 30.68 万元

IT之家
2024-03-28 23:08:07
俄媒:中方真够兄弟!普京最想要的东西,中国这次毫无保留地给了

俄媒:中方真够兄弟!普京最想要的东西,中国这次毫无保留地给了

小lu侃侃而谈
2024-03-28 20:01:38
韩媒:全球通信设备市场中国华为第一 韩国三星跌至第五

韩媒:全球通信设备市场中国华为第一 韩国三星跌至第五

财联社
2024-03-29 07:07:10
格局打开!范冰冰帮范丞丞出手!

格局打开!范冰冰帮范丞丞出手!

八卦疯叔
2024-03-28 10:03:44
190颗导弹,700枚炸弹像雨点般落下,重创基辅,波兰准将被炸身亡

190颗导弹,700枚炸弹像雨点般落下,重创基辅,波兰准将被炸身亡

夏天使娱乐
2024-03-28 18:43:08
降薪1440万被嘘!马克西赛后力挺,哈登含泪谈费城,大帝让人寒心

降薪1440万被嘘!马克西赛后力挺,哈登含泪谈费城,大帝让人寒心

巴叔GO聊体育
2024-03-29 13:52:36
新型卖淫方式,让人预想不到,但却真实存在!

新型卖淫方式,让人预想不到,但却真实存在!

雪影的情感
2023-11-18 11:51:16
今年交付美国11.6万发,土耳其好厉害!智库盯上韩国340万发炮弹

今年交付美国11.6万发,土耳其好厉害!智库盯上韩国340万发炮弹

鹰眼Defence
2024-03-28 18:08:44
WTT仁川冠军赛3月29日对阵形势、比赛轮次及每场比赛时间出炉

WTT仁川冠军赛3月29日对阵形势、比赛轮次及每场比赛时间出炉

刺头体育
2024-03-29 12:31:32
乌武装部队总司令首次公开评论前任被解职:总统显然有“充分理由”

乌武装部队总司令首次公开评论前任被解职:总统显然有“充分理由”

环球网资讯
2024-03-29 17:39:29
“杨康”别硬演,有人像街溜子,有人像采花贼,还有人猥琐油腻?

“杨康”别硬演,有人像街溜子,有人像采花贼,还有人猥琐油腻?

动物的世界6
2024-03-29 00:10:49
嫌犯刚招供,莫斯科专机直飞北京,普京想要的答案,中方痛快给了

嫌犯刚招供,莫斯科专机直飞北京,普京想要的答案,中方痛快给了

奇思妙想草叶君
2024-03-28 14:28:56
第二个富士康来了?抛弃10万工人,关闭120亿工厂,铁了心撤离

第二个富士康来了?抛弃10万工人,关闭120亿工厂,铁了心撤离

疯狂小菠萝
2024-03-23 14:28:23
刘海还在!李铁出庭受审为何没有理发+穿号服?

刘海还在!李铁出庭受审为何没有理发+穿号服?

念洲
2024-03-29 06:46:38
2024-03-29 19:34:44

科技要闻

雷军:我们是卷王,建议BBA车主感受下时代

头条要闻

万科上市30多年来首次不分红 三名高管降薪至每月1万

头条要闻

万科上市30多年来首次不分红 三名高管降薪至每月1万

体育要闻

拒绝为国出战,他是足坛"天选打工人"

娱乐要闻

胡夏被曝有孩子!工作室火速辟谣

财经要闻

张维迎:如何正确理解企业家精神?

汽车要闻

找回久违的开怀大笑 试驾小米SU7 Max

态度原创

教育
艺术
本地
健康
公开课

教育要闻

学会四大几何模型,轻松解答!

艺术要闻

艺术开卷|从闺阁、庭院到郊野,古画中的女性生活空间

本地新闻

专访|张伟潮:最年轻的龙头专职制造者

早防早筛,远离肝硬化

公开课

30岁之前,你要学会的13件事情

无障碍浏览 进入关怀版
×