安全路透社
当前位置:安全路透社 > 网络转载 > 正文

上海地区WannaCry蠕虫式勒索软件传播与危害性分析报告

图1.jpg

前言

2017年5月12日,一款名位WannaCry(别名,WCRY、WCrypt、WannaCrypt0r)的蠕虫式勒索软件在互联网上广为流传。该勒索程序以Windows用户为目标,成功感染后即对用户计算机中各类文件和数据进行加密,并借由Windows SMB漏洞(CVE-2017-0143,MS17-010),以疯狂的速度蔓延至全球100多个国家,数以万计的企业及用户受到影响,范围覆盖金融、教育、医疗、通信、交通等各个行业领域。

5月12日-15日期间,我们利用大数据分析方法对WannaCry及其变种在全上海的传播和影响范围进行了统计和分析。本报告不仅阐述了WannaCry蠕虫式勒索软件原理,且在大数据的支持下,从感染范围、感染趋势、地理位置分布等角度对WannaCry在上海的影响做了解读。

Key Findings

• 在5月13日Kill Switch域名被注册后,WannaCry在上海地区的扩散量呈螺旋下降趋势;

• 从用户分布属性来看,本次勒索软件事件在上海地区影响到个人用户、基础服务、金融证券、酒店服务、商务服务、信息服务、学校、医疗、制造业等,其中个人用户受影响最大;

• WannaCry在上海地区的波及范围相较以往的恶意程序都更为广泛,但严重性未及预期;

• WannaCry变种蠕虫相较其自身,在上海地区的影响力和传播范围相对有限。

关于Wanna蠕虫式勒索软件

今年4月份, 黑客组织Shadow Brokers(影子经纪人)披露NSA(美国国家安全局)旗下方程式组织开发的漏洞利用工具(Fuzzbunch),其中包括针对Windows系统SMB服务漏洞利用工具“ETERNALBLUE(永恒之蓝)”。WannaCry蠕虫式勒索软件的大规模扩散正是以此工具为基础的。虽然微软早在今年3月份已经针对受支持的Windows系统发布了安全更新,修复了MS17-010漏洞,但仍有大量企业组织和个人在使用旧版本的Windows系统。

所幸当时运营商大网均已对445端口访问进行限制,此举有效控制了Fuzzbunch框架中ETERNALBLUE工具漏洞利用的危害。所以,MS17-010漏洞并未立刻表现出影响力和危害性。

但局域网仍在漏洞及其利用工具的有效射程中。攻击者正是利用普通用户对网络安全的不重视,未及时更新Windows系统补丁,实现了规模化攻击。本次WannaCry蠕虫式勒索软件利用MS17-010漏洞,得以在未打补丁的Windows计算机中,实现大规模迅速传播。 一旦所在组织中一台计算机受攻击,WannaCry蠕虫式勒索软件便会迅速寻找其他有漏洞的计算机并发动攻击,实现了快速传播感染和勒索钱财的目的。

感染WannaCry蠕虫式勒索软件的Windows设备会对系统内的文件进行高强度加密(文件类型包括图片、文档、压缩包、视频、音频等),并向受害者勒索一定金额的比特币换取解密密钥。且安全专家提示,即便真的向勒索软件作者支付赎金也未必能实现数据解锁。

wannacry_05_1024x774.png

上海地区感染情况

通过检测数据中心所部署采集设备的流量,我们分析了WannaCry蠕虫式勒索软件在上海地区12-15日期间的影响状况:

图表1:上海地区WannaCry蠕虫式勒索软件及其变种的扩散趋势

图层 4.jpg

从上图WannaCry蠕虫式勒索软件及其变种的的扩散趋势来看,从12日至15日,WannaCry的扩展状态呈收敛趋势。从数据走势不难发现,在13日Kill Switch域名“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”被注册之后,WannaCry的扩散得到显著抑制。

Kill Switch是安全研究人员发现WannaCry蠕虫式勒索软件运行机制的组成部分。该勒索软件在运行之前会首先尝试连接上述域名,连接失败才会执行后续恶意行为;若连接成功则会停止运行。该域名被安全研究人员称为Kill Switch,因此在Kill Switch域名被注册过后,WannaCry的扩散速度便开始逐渐减缓。

另从截取到的十多种WannaCry变种来看,感染量相对较大的仅2个变种,且即便是这2个变种,相较WannaCry自身的影响力也有着较大差距,传播范围相对有限。

图表2:上海WannaCry区域感染情况

图2.jpg

图表3:上海感染WannaCry IP在全上海的占比

图层 3.png

图表4:不同行业领域受影响占比

图3.jpg

具体检测样本情况如下:

• 13日检测样本总数: 7.58亿条

• 14日检测样本总数: 7.65亿条

• 15日检测样本总数: 7.43亿条

从上述图表可见,单从感染基数来看,WannaCry蠕虫式勒索软件的影响力的确相较其他普通恶意程序更为庞大,对企业组织和个人造成的危害也更大,但其影响力未及前期预估。

若从行业维度划分,WannaCry蠕虫式勒索软件在上海波及到的行业包括金融证券、学校、信息服务、制造业、酒店服务、基础服务、商务服务和医疗等。但受影响最大的群体仍然是个人客户——个人客户遭遇WannaCry蠕虫式勒索软件危害传播数量全行业占比超过9成。

WannaCry蠕虫式勒索软件分析

TIM图片20170518181213.png

① WannaCry病毒分为母体程序和子程序,母体程序(mssecsvc.exe)负责程序自启动及传播。

② 母体运行后会通过访问某个URL地址(样本以iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com为例),判定访问失败后执行后续程序。

③ 母体程序以进程转服务形式驻扎在受害机器中,并尝试对内网地址及随机的公网地址进行传播,攻击方式是利用了MS17-010漏洞,发送SMB协议攻击消息。

④ 母体释放勒索程序进行本机文件扫描,支持多达170余种类型文件,包括图片、音频、视频等类型文件。

⑤ 病毒程序使用AES算法进行文件加密,密钥使用2次RSA进行加密,以特定形式写入“源文件名+.wncry”,同时删除源文件。最后弹出比特币支付信息窗口,进行勒索。

影响操作系统版本

目前此漏洞仅影响Windows系统主机,除已经更新微软3月安全补丁的系统外,受到影响的系统版本囊括了Windows XP之后几乎所有的Windows系统,甚至包括历史寿命较短的Windows RT系统。具体为:

Windows 10(1507,1511,1607)

Windows 8 / 8.1

Windows 7

Windows Vista

Win Server 2008、2008 R2、2012、2012 R2

Windows RT

Windows XP

响应与处置方案

针对受支持的Windows系统(包括Windows 10/Vista/7/Server 2008 R2/8.1/Server 2012/Server 2012 R2/Server 2016),微软已经在3月的安全更新中发布了MS17-010补丁,用以修复WannaCry蠕虫式勒索软件可利用的Windows SMB漏洞。微软另外也在近期面向部分不再受支持的系统,如Windows XP,针对该漏洞推出了安全更新。绝大部分Windows用户都应当及时安装微软官方的安全补丁,杜绝WannaCry蠕虫式勒索软件的进一步传播。更为具体的响应与处置方案包括:

未感染WannaCry的安全预防

•  所有Windows系统都应当安装微软的最新安全更新(Windows XP/8/Server 2003等老系统需额外下载官方补丁);

•  禁用SMBv1协议;

•  阻止139、445端口入站流量;

•  采用最新版Windows Defender进行WannaCry检测;

•  企业内部可从网络设备ACL策略入手,从网络层面阻断TCP 445端口通讯;

感染WannaCry后的响应策略

•  将已经感染WannaCry且数据遭遇加密的设备断开网络连接;

•  查找内部所有开放445 SMB服务端口的终端与服务器进行检测和防范;

•  尝试采用数据恢复工具(如No More Ransom相应工具)进行已删除文件恢复;

•  若无法进行数据恢复,则可转移加密数据,等待专用数据解密工具;

现状与思考

近期有传言消息称,可快速解密已被WannaCry加密的文件。经专家鉴定,病毒传播作者采用高强度加密技术,目前暂无解密可能。因此,Windows用户需谨记,切勿因迫切希望解密文件致二次受骗,而应当理性看待安全事故。目前可以通过文件恢复技术将由病毒删除的文件进行恢复,国内外多家厂商也发布了文件恢复工具。

此次病毒蔓延事件就像多年前知名的“熊猫烧香“一样,受到了各界人士的关注和重视。目前各行业已经从诸多渠道充分了解了WannaCry蠕虫式勒索软件的危害,也开始着手大规模进行系统升级,但病毒近期依旧持续蔓延,完全扫除威胁仍旧需要时间。

网络安全是个恒久的话题,不断关注网络安全事业、重视自身网络安全建设才能打造更完善的安全生态圈。安全也不该因为一两次突发事件仅得到临时关注,安全是需要持之以恒的事业。

出品方

上海电信互联网安全项目组

上海理想信息产业(集团)有限公司

上海斗象科技能力中心

FreeBuf互联网安全新媒体

IMG_4382-1500-80.jpg

未经允许不得转载:安全路透社 » 上海地区WannaCry蠕虫式勒索软件传播与危害性分析报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册