2017-05-12的WannaCry可以说是史上影响、危害最大的勒索程序没有之一了,它在爆发后的几个小时内攻击99个国家近万台设备,在大量企业组织和个人间蔓延,目前已经有150多个国家的20多万台主机遭受了攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利。
WannaCry究竟是神马
根据各种安全厂商发布的报告
WannaCry = 勒索者tasksche.exe(加密数据、解密数据)+ 木马传播mssecsvc.exe。
木马母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播,此外会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。木马加密使用AES加密文件,并使用非对称加密算法RSA2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。
对Windows漏洞利用是WannaCry之所以传播能力如此之强的根源,tasksche.exe实际上是对早前NSA泄露的ETERNALEBLUE(永恒之蓝)exploit的改写版本。ETERNALEBLUE是被Shadow Brokers在几度出售方程式工具包失败之后就主动将一堆0day放出一堆 exploit中的一个。也就是说WannaCry的震慑力主要是来自NSA方程式组织。
ETERNALEBLUE利用的是Windows系统本身的漏洞。该漏洞将恶意构建的包发往SMBv1服务器就能触发。微软在3月份的Patch Tuesday中已经发布了MS17-010安全公告中修复了该问题,只不过大量企业组织不会实时打补丁,还有很多企业在用Windows XP这样陈旧的系统,自然受到了影响。
新型“蠕虫”式勒索软件“WannaCry”运行流程
样本开始执行时,首先连接样本中硬编码的kill switch地址测试网络连通性,如果能联通,则直接退出,如果不能联通,则继续后续行为。
A. 蠕虫行为:
1. 创建一个mssecsvc2.0的服务项,随后启动该服务并每次开机都会自启动。2. 从木马自身读取MS17_010漏洞利用代码,playload分为x86和x64两个版本。创建两个线程,分别扫描内网和外网的IP,开始进程蠕虫传播感染。3. 对公网随机ip地址445端口进行扫描感染。于局域网,则直接扫描当前计算机所在的网段进行感染,感染过程,尝试连接445端口。4. 如果连接成功,则对该地址尝试进行漏洞攻击感染。5. 释放敲诈程序。
根据安天对WannaCry的运行流程图,能很明确地能够看到Kill Switch所处的位置,即在mssecsvc.exe进程之后的“连接网址”,网址也就是:
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
在连接该网址不成功以后才进行接下来的勒索和蠕虫步骤,如果连接成功则会停止恶意行为。安全专家立刻注册了这一域名(MalwareTech),所以WannaCry的扩散势头被临时制止。至于为什么会设置kill switch,有推断称此次WannaCry勒索木马使用这个秘密开关域名的原因就是为了进行沙箱环境的检测,逃避沙箱的自动化检测,进而延长自己的存活时间。
B. 敲诈者行为
1. tasksche.exe解压释放大量敲诈者模块及配置文件,解压密码为WNcry@2ol7,2. 关闭指定进程,避免某些重要文件因被占用而无法感染。
3. 遍历磁盘文件,避开含有以下字符的目录。
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
4. 加密以下178种扩展名文件
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf , .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xl tx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, . iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar , .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, . c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, . 3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
加密流程为:
1) 程序中内置两个RSA 2048公钥,用于加密,其中一个含有配对的私钥,用于演示能够解密的文件,另一个则是真正的加密用的密钥,程序中没有相配对的私钥。
2) 木马随机生成一个256字节的密钥,并拷贝一份用RSA2048加密,RSA公钥内置于程序中。
3) 构造文件头,文件头中包含有标志、密钥大小、RSA加密过的密钥、文件大小等信息。
4)使用CBC模式AES加密文件内容,并将文件内容写入到构造好的文件头后,保存成扩展名为.WNCRY的文件,并用随机数填充原始文件后再删除,防止数据恢复。
索要钱财
完成所有文件加密后释放说明文档,弹出勒索界面,需支付价值数百美元不等的比特比到指定的比特比钱包地址,三个比特币钱包地址硬编码于程序中
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
安全建议
本次受微软MS17-010漏洞的机型有:
XP、Vista、Win7、win8.1
为此CNNVD给出了一些建议
针对已经感染WannaCry的设备和企业网络应急措施
1、立即断网,防止扩散和蔓延。对于已经感染“WannaCry”勒索蠕虫的计算机,尽快关机,取出硬盘,通过专业数据恢复软件进行恢复。立即切断内外网连接,避免感染网络中的其他计算机。
2、启动恢复程序,及时修复补丁。若计算机存在备份,应启动备份恢复程序,及时安装修复补丁。
防范方案
1、 个人用户1) 配置windows防火墙,关闭445端口。2) 使用安天或360[提供的检测免疫工具对系统进行快速扫描,3)马上安装微软发布的MS17-010补丁
2、网络管理员修改网络配置,监控网络接口。建议各网络管理员在网络防火墙上配置相关策略,限制外部对445端口的访问,加强内网审计。同时在接入交换机或核心交换机抓包,查看是否存在大量扫描内网139、135、445端口的网络行为,及时定位扫描发起点,对扫描设备进行病毒查杀,一旦发现被感染主机,立即断网防止进一步扩散。
日常使用规范
在日常计算机使用过程中,对重要信息数据定期及时进行备份;浏览网页和使用电子邮件的过程中, 切勿随意点击可以链接地址;及时更新操作系统及相关软件版本,实时安装公开发布的漏洞修复补丁。
WannaCry黑客昏招连连
这些错误包括:设置了基于Web的“kill-switch"限制其传播,对比特币支付的粗糙处理使得该黑客团伙的盈利易于追踪,甚至恶意软件本身的勒索功能根本是粗制滥造。一些分析师称,该系统甚至让罪犯无法得知哪些人支付了赎金。
首先,病毒作者在恶意软件中硬编码进了一个“致命开关”(Kill Switch),以防病毒作者想要终止病毒传播。这个“致命开关”是由一串超长的不规则排列字母组成的一个域名,受害者每次触发病毒时,都会访问这个域名。病毒作者当时的设计是,只要这个域名没有被注册,攻击就不停止,而一旦这一域名被注册,攻击代码就会失效。这个漏洞被一名年仅22岁的英国网络安全研究员发现,并花10.69美元注册了这个域名后,无意之间也给全球这场大规模病毒传播踩了刹车。
上周末,WannaCry新版本面试,依然有“断路开关”,只是换了个地址。迪拜安全研究员马特·舒彻几乎是立即注册了该域名,同样成功控制了该改进版的传播。舒彻完全想象不出,为什么那些黑客要用内置在代码中的静态URL,而不采用随机生成的URL呢?舒彻表示:“我找不到任何明显的解释可以说明为什么第二版里仍然有个断路开关。”同样的错误一犯再犯,尤其是这么一个对WannaCry一击必杀的错误,完全没有意义嘛。“这似乎是个逻辑漏洞。”
其次,在病毒传播如此广泛的前提下,WannaCry背后的团伙仅获利5.5万美元,才是更专业隐秘的勒索软件阴谋获利的九牛一毛。思科Talos团队网络安全研究员克莱格·威廉姆斯称:“从勒索角度看,这简直是灾难性的失败。高伤害,高曝光,超高司法可见性,但却是我们所见最低的利润率,连中小规模的勒索软件活动都不如。”
伦敦安全公司Hacker House研究员马修·西基称,这么微薄的利润可能部分源于WannaCry几乎没实现其基本的勒索功能。西基花了一个周末挖掘WannaCry的代码,发现该恶意软件并没有通过指定唯一比特币地址的方式,自动验证特定受害者是否支付了索要的3000美元比特币赎金。相反,他们只提供4个硬编码比特币地址中的一个,意味着入账支付动作没有标识信息可供自动化解密过程。
于是,罪犯自己不得不费劲找出哪台电脑需要解密,鉴于数十万台的感染量,这机制简直糟心。“这真的是个手动过程,必须有人确认并发送密钥。”
这就意味着,即使受害者缴纳了赎金,也无法恢复文件。事实也证明,一些缴纳了赎金的受害者电脑上的数据确实没有被恢复。在犯罪分子不“守信”的情况下,受害者自然不愿缴纳赎金。
再者,恶意软件中只使用4个硬编码的比特币地址不仅仅引发了支付问题,还大大方便安全界和司法机构对WannaCry盈利匿名提现的追踪。所有比特币交易在比特币公共会计总帐,也就是 区块链上,都是可见的。
思科研究人员称,他们发现,该勒索软件里的“验证支付”按钮甚至根本没检查比特币有没有被支付。这东西只是在4个答案中随机选一个而已——3个虚假错误消息或者1个虚假“解密”消息。如果黑客确实想要解密文件,威廉姆斯认为,那肯定是通过该恶意软件的“联系”按钮与受害者通信的一个人工过程,或者随意向部分用户发送解密密钥,以给与受害者支付了赎金就能解密文件的假象。相比其他更顺畅更自动化的勒索软件攻击,这么难搞的过程简直是在打消受害者支付赎金的意愿。
事实上,WannaCry破坏如此之巨,盈利如此之少,已经让一些安全研究人员开始怀疑,这有可能根本就不是奔着钱去的阴谋。或许,是某人想通过用NSA被泄黑客工具大肆破坏,来羞辱这个情报机构——甚至可能就是偷了这些工具的“影子经纪人”黑客团伙。
聚圣源公司免费起名测建筑公司起名字寓意好的字中国男足直播魔兽显血改键精灵渣打银行信用卡中心袁氏起名女孩名字网上起名靠谱吗?重庆谈判电影名八字免费起名英雄无名下载付字男宝宝起名适合猪宝宝起名用的字的宝宝起名比较好的站点xbox360模拟器机械租赁公司起名大全oracle9i小孩子起名四字大全起名带家字有哪些滕姓起名海的女儿故事女起名诗经男取名楚辞魔兽火影33d蜜桃成熟时机箱风扇推荐电子邮箱163付姓起名霸气起名好的网站免费photoimpact下载电脑破解游戏网站越位是什么意思淀粉肠小王子日销售额涨超10倍罗斯否认插足凯特王妃婚姻让美丽中国“从细节出发”清明节放假3天调休1天男孩疑遭霸凌 家长讨说法被踢出群国产伟哥去年销售近13亿网友建议重庆地铁不准乘客携带菜筐雅江山火三名扑火人员牺牲系谣言代拍被何赛飞拿着魔杖追着打月嫂回应掌掴婴儿是在赶虫子山西高速一大巴发生事故 已致13死高中生被打伤下体休学 邯郸通报李梦为奥运任务婉拒WNBA邀请19岁小伙救下5人后溺亡 多方发声王树国3次鞠躬告别西交大师生单亲妈妈陷入热恋 14岁儿子报警315晚会后胖东来又人满为患了倪萍分享减重40斤方法王楚钦登顶三项第一今日春分两大学生合买彩票中奖一人不认账张家界的山上“长”满了韩国人?周杰伦一审败诉网易房客欠租失踪 房东直发愁男子持台球杆殴打2名女店员被抓男子被猫抓伤后确诊“猫抓病”“重生之我在北大当嫡校长”槽头肉企业被曝光前生意红火男孩8年未见母亲被告知被遗忘恒大被罚41.75亿到底怎么缴网友洛杉矶偶遇贾玲杨倩无缘巴黎奥运张立群任西安交通大学校长黑马情侣提车了西双版纳热带植物园回应蜉蝣大爆发妈妈回应孩子在校撞护栏坠楼考生莫言也上北大硕士复试名单了韩国首次吊销离岗医生执照奥巴马现身唐宁街 黑色着装引猜测沈阳一轿车冲入人行道致3死2伤阿根廷将发行1万与2万面值的纸币外国人感慨凌晨的中国很安全男子被流浪猫绊倒 投喂者赔24万手机成瘾是影响睡眠质量重要因素春分“立蛋”成功率更高?胖东来员工每周单休无小长假“开封王婆”爆火:促成四五十对专家建议不必谈骨泥色变浙江一高校内汽车冲撞行人 多人受伤许家印被限制高消费
聚圣源 XML地图 TXT地图 虚拟主机 SEO 网站制作 网站优化
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。