思科解析诓骗病毒:被熏染尽可以或许不付出赎金|7788pan


诓骗病毒发作后,思科 Talos 团队解析了 "WannaCry" 诓骗软件,思科暗示,建功分子在收到诓骗赎金后,并没有任务供给解密秘钥,号令统统被进犯的人员尽可以或许停止付出赎金,因为付出赎金的办法无疑就是在直接资助这些歹意举动的壮大。

思科发起,确保统统 Windows 体系均安装了局部补丁,而且封闭统统内部可会面的 139 和 445 端口。

以下是文章全文:

博客作者:Martin Lee、Warren Mercer、Paul Rascagneres 和 Craig Williams

要点综述

据报导称,环球多家构造遭到了一次严重的诓骗软件进犯,西班牙的 Telefonica、英国的百姓保健署、和美国的 FedEx 等构造纷纭中招。发起这一进犯的歹意软件是一种名为 "WannaCry" 的诓骗软件变种。

该歹意软件会扫描电脑上的 TCP 445 端口(Server Message Block/SMB),以相似于蠕虫病毒的方法传达,进犯主机并加密主机上存储的文件,然后要求以比特币的情势付出赎金。

别的,Talos 还注重到 WannaCry 样本利用了 DOUBLEPULSAR,这是一个由来已久的后门轨范,一样平常被用于在从前被熏染的体系上会面和实行代码。这一后门轨范答应在体系上安装和激活歹意软件等其他软件。它一样平常在歹意软件胜利操纵 SMB 毛病后被植入,后者已在 Microsoft 安全通告 MS17-010 中被修复。在 Shadow Brokers 近期向大众开放的工具包中,一种进犯性毛病操纵框架可操纵而后门轨范。自这一框架被开放以来,安全行业和浩繁地下黑客论坛已对其遏制了广泛的阐发和研讨。

WannaCry 如同着实不但仅是操纵与这一进犯框架相干的 ETERNALBLUE(永远之蓝)模块,它还会扫描可会面的效力器,检测能否存在 DOUBLEPULSAR 后门轨范。如果发现有主机被植入了这一后门轨范,它会操纵现有的后门轨范服从,并利用它来经过进程 WannaCry 熏染体系。如果体系此前未被熏染和植入 DOUBLEPULSAR,该歹意软件将利用 ETERNALBLUE 检验考试操纵 SMB 毛病。这就组成了近期在互联网上调查到的大范围相似蠕虫病毒的举动。

构造应确保运转 Windows 操纵体系的设备均安装了局部补丁,并在安立时依照了最好实际。别的,构造还应确保封闭统统内部可会面的主机上的 SMB 端口(139 和 445)。

请注重,针对这一威胁我们当前还处于查询拜访阶段,随着我们获知更多信息,大概进犯者按照我们的行办法出呼应,实践状态将可以或许发作革新。Talos 将持续自动监控和阐发这一状态,以发现新的平息并相应收受担当举措。是以,我们可以或许会订定出新的遁藏方法,或在稍后调解和 / 或批改现有的遁藏方法。有关最新信息,请参阅您的 Firepower Management Center 或 Snort.org。

进犯具体信息

我们注重到从东部尺度韶光早上 5 点(天下尺度韶光上午 9 点)前劈头劈脸,收集中针春联网主机的扫描劈头劈脸迟钝爬升。

根底设备阐发

Cisco Umbrella 研讨人员在 UTC 韶光 07:24,调查到来自 WannaCry 的 killswitch 域名(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [ . ] com)的第一个乞请,而后在短短 10 小时后,就上升到 1,400 的峰值水平。

该域名组成看起来就像是酬谢输入而成,大多数字符均位于键盘的上排和中央排。

鉴于此域名在全部歹意软件实行中的脚色,与其遏制的通信可以或许被归类为 kill switch 域名:

以上子轨范会检验考试对此域名实行 HTTP GET 操纵,如果败北,它会持续遏制熏染操纵。但是,如果胜利,该子轨范将会终了。该域名被注册到一个已知的 sinkhole,可以或许有用使这一样本终了其歹意举动。

原始注册信息有力证清晰了然这一点,其注册日期为 2017 年 5 月 12 日:

恶意软件分析

初始文件 mssecsvc.exe 会释放并执行 tasksche.exe 文件,然后检查 kill switch 域名。之后它会创建 mssecsvc2.0 服务。该服务会使用与初次执行不同的入口点执行 mssecsvc.exe 文件。第二次执行会检查被感染电脑的 IP 地址,并尝试联接到相同子网内每个 IP 地址的 TCP 445 端口。当恶意软件成功联接到一台电脑时,将会建立联接并传输数据。我们认为这一网络流量是一种利用程序载荷。已有广泛报道指出,这一攻击正在利用最近被泄露的漏洞。Microsoft 已在 MS17-010 公告中修复了此漏洞。我们当前尚未完全了解 SMB 流量,也未完全掌握这一攻击会在哪些条件下使用此方法进行传播。

tasksche.exe 文件会检查硬盘,包括映射了盘符的网络共享文件夹和可移动存储设备,如 "C:/" 和 "D:/" 等。该恶意软件之后会检查具有附录中所列后缀名的文件,然后使用 2048 位 RSA 加密算法对其进行加密。在加密文件的过程中,该恶意软件会生成一个新的文件目录 "Tor/",在其中释放 tor.exe 和九个供 tor.exe 使用的 dll 文件。此外,它还会释放两个额外的文件:taskdl.exe 和 taskse.exe。前者会删除临时文件,后者会启动 @wanadecryptor@.exe,在桌面上向最终用户显示勒索声明。@wanadecryptor@.exe 并不包含在勒索软件内,其自身也并非勒索软件,而仅仅是用来显示勒索声明。加密由 tasksche.exe 在后台完成。

@wanadecryptor@.exe 会执行 tor.exe 文件。这一新执行的进程将会启动到 Tor 节点的网络联接,让 WannaCry 能够通过 Tor 网络代理发送其流量,从而保持匿名。

与其他勒索软件变种类似,该恶意软件也会删除受害人电脑上的任意卷影副本,以增加恢复难度。它通过使用 WMIC.exe、vssadmin.exe 和 cmd.exe 完成此操作。

WannaCry 使用多种方法辅助其执行,它使用 attrib.exe 来修改 +h 标记(hide),同时使用 icacls.exe 来赋予所有用户完全访问权限("icacls ./grant Everyone:F /T /C /Q")。

该恶意软件被设计成一种模块化服务。我们注意到与该勒索软件相关的可执行文件由不同的攻击者编写,而非开发服务模块的人员编写。这意味着该恶意软件的结构可能被用于提供和运行不同的恶意载荷。

加密完成后,该恶意软件会显示以下勒索声明。这一勒索软件非常有趣的一点是,其勒索屏幕是一个可执行文件,而非图像、HTA 文件或文本文件。

组织应该意识到,犯罪分子在收到勒索赎金后,并无义务提供解密秘钥。Talos 强烈呼吁所有被攻击的人员尽可能避免支付赎金,因为支付赎金的举动无疑就是在直接资助这些恶意活动的壮大。

规避与预防

希望避免被攻击的组织应遵循以下建议:

? 确保所有 Windows 系统均安装了全部补丁。至少应确保安装了 Microsoft 公告 MS17-010。

? 根据已知的最佳实践,具有可通过互联网公开访问的 SMB(139 和 445 端口)的任意组织应立即阻止入站流量。

此外,我们强烈建议组织考虑阻止到 TOR 节点的联接,并阻止网络上的 TOR 流量。ASA Firepower 设备的安全情报源中列出了已知的 TOR 出口节点。将这些节点加入到黑名单将能够避免与 TOR 网络进行出站通信。

除了以上的规避措施外,Talos 强烈鼓励组织采取以下行业标准建议的最佳实践,以预防此类及其他类似的攻击活动。

? 确保您的组织运行享有支持的操作系统,以便能够获取安全更新。

? 建立有效的补丁管理办法,及时为终端及基础设施内的其他关键组件部署安全更新。

? 在系统上运行防恶意软件,确保定期接收恶意软件签名更新。

? 实施灾难恢复计划,包括将数据备份到脱机保存的设备,并从中进行恢复。攻击者会经常瞄准备份机制,限制用户在未支付赎金的情况下恢复其文件的能力。

规避办法

Snort 规则:42329-42332、42340、41978

下方列出了客户可以检测并阻止此威胁的其他办法。

高级恶意软件防护(AMP)能够有效避免执行这些攻击者使用的恶意软件。

CWS 或 WSA 网络扫描能够阻止访问恶意网站,并发现这些攻击中使用的恶意软件。

Email Security 可以阻止攻击者在其攻击活动中发送的恶意电子邮件。

IPS 和 NGFW 的网络安全防护功能可以提供最新的签名,用来检测攻击者发起的恶意网络活动。

AMP Threat Grid 能够帮助发现恶意软件二进制文件,并在所有思科安全产品中建立防护措施。

Umbrella 能够阻止对与恶意活动相关的域名进行 DNS 解析。

上一篇 下一篇

评论



分享

最新加入

最新评论

隋中缘: @嘉嘉tiffany 性感乳神。 查看原文 06月13日 16:16