全球WannaCry勒索病毒爆發(fā)背后的技術(shù)漏洞

1、 全球WannaCry勒索病毒爆發(fā)背后的技術(shù)漏洞 轉(zhuǎn)載文章請(qǐng)注明作者和二維碼及全文信息。 5月12日晚，新型“蠕蟲(chóng)式”勒索病毒軟件 WannaCry 在全球爆發(fā)，攻擊各國(guó)政府，學(xué)校，醫(yī)院等網(wǎng)絡(luò)。我國(guó)眾多行業(yè)大規(guī)模受到感染，其中教育網(wǎng)受損最為嚴(yán)重，攻擊造成大量教學(xué)系統(tǒng)癱瘓。國(guó)內(nèi)部分高校學(xué)生反映電腦被病毒攻擊，被攻擊的文檔將被加密。 據(jù)統(tǒng)計(jì)，病毒是全國(guó)性的。5月13 日凌晨 1 時(shí)許，記者從山東大學(xué)官方微博看到，微博中發(fā)布了一條關(guān)于防范 ONION 勒索軟件病毒攻擊的緊急通知 。 金山毒霸安全中心監(jiān)測(cè)到Onion/ wncry敲詐者蠕蟲(chóng)病毒在全國(guó)大范圍內(nèi)出現(xiàn)爆發(fā)傳播趨勢(shì)，并發(fā)布緊急預(yù)防措施。 針對(duì)

2、境外黑客組織Shadow Brokers爆出微軟高危方程式漏洞，天翼云也發(fā)出Windows高危漏洞通知，強(qiáng)調(diào)WannaCry等攻擊者可以利用工具對(duì)通過(guò)135、137、139、445、3389端口獲取Windows系統(tǒng)的操作權(quán)限，為保證您的數(shù)據(jù)及業(yè)務(wù)安全，強(qiáng)烈建議您用戶進(jìn)行安全整改，以保證您的服務(wù)器安全。WannaCry事件描述 經(jīng)過(guò)分析，WannaCry 勒索軟件是不法分子通過(guò)改造之前泄露的NSA黑客武器庫(kù)中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件，利用了微軟基于445 端口傳播擴(kuò)散的 SMB 漏洞MS17-010，微軟已在今年3月份發(fā)布了該漏洞的補(bǔ)丁。 Win7以上所有版本目前已有補(bǔ)丁，但是W

3、in7以下的Windows XP/2003目前沒(méi)有補(bǔ)丁。對(duì)于開(kāi)放445 SMB服務(wù)端口的終端和服務(wù)器，確認(rèn)是否安裝了MS17-010補(bǔ)丁，如沒(méi)有安裝則受威脅影響。 Windows系統(tǒng)一旦被WannaCry病毒感染后，會(huì)彈出一下對(duì)話框，攻擊者需要支付比特幣來(lái)恢復(fù)文件。 目前，國(guó)內(nèi)多個(gè)政府網(wǎng)和教育網(wǎng)大量出現(xiàn)WannaCry勒索軟件感染情況，一旦磁盤(pán)文件被病毒加密，只有支付高額贖金才能解密恢復(fù)文件，目前技術(shù)還無(wú)法解密該勒索軟件加密的文件。WannaCry漏洞介紹 這種攻擊應(yīng)該是利用了微軟系統(tǒng)的一個(gè)漏洞。該漏洞其實(shí)最早是美國(guó)國(guó)安局發(fā)現(xiàn)的，他們還給漏洞取名為EternalBlue(永恒之藍(lán))。 Micr

4、osoft 服務(wù)器消息塊 (SMB) 協(xié)議是 Microsoft Windows 中使用的一項(xiàng) Microsoft 網(wǎng)絡(luò)文件共享協(xié)議。在大部分 windows 系統(tǒng)中都是默認(rèn)開(kāi)啟的，用于在計(jì)算機(jī)間共享文件、打印機(jī)等。Windows SMB遠(yuǎn)程提權(quán)漏洞，NSA 泄露工具EternalBlue利用 SMB可以攻擊開(kāi)放了445 端口的 Windows 系統(tǒng)并提升至系統(tǒng)權(quán)限。 攻擊者與TCP協(xié)議的445端口建立請(qǐng)求連接，獲得指定局域網(wǎng)內(nèi)的各種共享信息，并對(duì)文件施行加密等破壞性攻擊。深信服安全云早在一個(gè)月前已更新微軟SMB漏洞檢測(cè)方案，并提供了安全應(yīng)對(duì)方案。 在剛剛結(jié)束的RSA2017大會(huì)上，勒索軟件的

5、防御依然是一個(gè)熱門(mén)話題，RSA大會(huì)專門(mén)安排了一天的勒索軟件專題研討。盡管勒索軟件有愈演愈烈的趨勢(shì)，危害也越來(lái)越大，但是無(wú)論個(gè)人用戶還是企業(yè)用戶，很多人并不是完全的了解勒索軟件，重視程度也不夠，甚至還沒(méi)有找到正確的防御方式。這個(gè)系列的軟文，希望在以往針對(duì)勒索軟件防御分析的基礎(chǔ)上，能夠進(jìn)一步深度分析勒索軟件，探討勒索軟件防御的最佳實(shí)踐。什么是勒索軟件 首先需要明確的是，勒索軟件是一種典型的惡意代碼，當(dāng)電腦被感染了這種惡意代碼之后，電腦中的某些文件被加密處理，比如Office文檔、圖片、視頻文件等，造成使用者無(wú)法訪問(wèn)這些文件。由于勒索軟件是通過(guò)對(duì)文件進(jìn)行加密達(dá)到勒索金錢(qián)的目的，因此又稱為加密勒索軟件

6、。 在上圖中，一種名為CryptolLocker的勒索軟件某些權(quán)威，已經(jīng)將電腦上的文件完成了加密，并提醒受害者，唯一的解密方式，就是通過(guò)付費(fèi)來(lái)獲取解密的密鑰，而且必須在規(guī)定時(shí)間付費(fèi)，否則將銷(xiāo)毀密鑰。 勒索軟件作為惡意代碼的一種類(lèi)型，已經(jīng)存在很多年了，惡意代碼通常是在系統(tǒng)后臺(tái)偷偷地運(yùn)行，比如竊取數(shù)據(jù)或者進(jìn)行遠(yuǎn)程控制，使用者很難發(fā)覺(jué)，也沒(méi)有發(fā)生明顯的后果，很多時(shí)候都不去理睬。然而，勒索軟件的出現(xiàn)，直接造成了文件被加密，無(wú)法訪問(wèn)和使用，受害者遇到了這種情況，必須想辦法來(lái)解決。加密勒索軟件如何工作 加密勒索軟件的傳播有多種方式，最常見(jiàn)的是利用了社會(huì)工程的攻擊方法，即通過(guò)釣魚(yú)郵件包含惡意代碼，或者利用網(wǎng)

7、站的釣魚(yú)鏈接，那么當(dāng)用戶點(diǎn)擊了郵件包含的惡意代碼，或者釣魚(yú)鏈接后，惡意代碼利用電腦系統(tǒng)本身存在的漏洞，侵入系統(tǒng)，并在后臺(tái)開(kāi)始運(yùn)行。我們通過(guò)下面的示意圖，簡(jiǎn)單描述了勒索軟件的傳播過(guò)程。1.攻擊者利用社會(huì)工程的方法，含有勒索軟件或釣魚(yú)鏈接的郵件發(fā)送到用戶的郵箱，或者在某些網(wǎng)站通過(guò)掛馬的方式，誘騙用戶點(diǎn)擊。2.用戶運(yùn)行惡意文件或點(diǎn)擊釣魚(yú)鏈接后，勒索程序?qū)⒗媒K端系統(tǒng)存在的漏洞，在終端安裝并運(yùn)行，并且有可能向C&C主機(jī)發(fā)起連接請(qǐng)求。3.惡意程序連接到C&C主機(jī)后，基于受害者終端的特定信息生成RSA密鑰對(duì)，并將RSA公鑰下載到終端上。4.勒索軟件在后臺(tái)檢索文件，同時(shí)生成一個(gè)AES密鑰，對(duì)檢索到的文件進(jìn)行

8、加密處理；加密完成后，用RSA的公鑰再將AES密鑰進(jìn)行加密，并保存到文件中。5.攻擊者發(fā)出勒索信息，以各種方式通知用戶支付贖金。 勒索軟件在對(duì)文件進(jìn)行查找和加密進(jìn)行過(guò)程中，用戶往往沒(méi)有感知，只有當(dāng)文件無(wú)法訪問(wèn)后才發(fā)現(xiàn)，很多文件已經(jīng)被加密，已經(jīng)無(wú)法訪問(wèn)了。通常攻擊者會(huì)通過(guò)郵件或者替換墻紙的方式，通知受害者來(lái)支付贖金。 值得一提，有些攻擊者還提供了加密原理的知識(shí)介紹，告知受害者，如果文件被加密后，唯一的解決方式，就是要拿到密鑰才能解密，通過(guò)這種方式去促使受害者盡快支付贖金，才可以拿到密鑰來(lái)解密文件。加密勒索軟件演變 勒索軟件的歷史，最早可以追溯到1989年，當(dāng)時(shí)出現(xiàn)了一種被稱為PCCyborg的惡

9、意代碼，對(duì)電腦的文件名稱或文件夾進(jìn)行加密，或者隱藏文件夾，造成用戶無(wú)法訪問(wèn)文件，必須支付189美元的贖金后，才能夠被解密。 我們看到，隨著時(shí)間推移，各種各樣的加密勒索軟件不斷出現(xiàn)，就如最新的WannaCry及其變種，伴隨著勒索軟件防御技術(shù)的發(fā)展，攻擊者從加密技術(shù)到勒索金錢(qián)的支付方式，也在不斷開(kāi)發(fā)更加復(fù)雜的勒索軟件。 加密勒索軟件使用的加密方式，從最初的對(duì)稱加密方式，發(fā)展到非對(duì)稱加密，現(xiàn)在更多的采取了混合加密的方式，并且加密強(qiáng)度也越來(lái)越高。例如，2013年出現(xiàn)的Cryptolocker，2016年出現(xiàn)的Locky都采用了混合加密的方式，密鑰長(zhǎng)度達(dá)到了2048位。從加密原理來(lái)講，除非拿到密鑰，否則無(wú)法實(shí)現(xiàn)解密。 為了逃避追蹤，攻擊者從2008年開(kāi)始采用數(shù)字貨幣的方式來(lái)索取贖金，比如比特幣，這樣做的目的，就是利用比特幣難以追溯的特性，逃避執(zhí)法部門(mén)的追蹤，而且比特幣方便支付，便于受害者快速支付贖金。 加密勒索軟件的攻擊對(duì)象也在發(fā)生變化，從原來(lái)的以個(gè)人為攻擊目標(biāo)，開(kāi)始逐漸轉(zhuǎn)向企業(yè)。攻擊者這樣做的目的是，由于企業(yè)的數(shù)據(jù)的重要性，一旦被加密成功，企業(yè)迫于自身業(yè)務(wù)運(yùn)營(yíng)的壓力，通常會(huì)更快的支付勒索金錢(qián)，而且數(shù)額也更大。根據(jù)公開(kāi)報(bào)道，在北美地區(qū)有學(xué)校、醫(yī)院等機(jī)構(gòu)感染了勒索軟件后，迫于業(yè)務(wù)運(yùn)營(yíng)的壓