早在WannaCry之前 至少存在3个组织利用永恒之蓝发起攻击
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全5月25日讯 WannaCry最近掀起一场“血雨腥风”,勒索病毒引发全球恐慌,这个被全球关注的勒索病毒带来众多启示,引人深思。众所周知,WannaCry利用了EternalBlue(永恒之蓝)漏洞利用,而WannaCry爆发之前,至少有3个不同的黑客组织在利用“永恒之蓝”。
过去数天,安全专家发现多起攻击也利用了“永恒之蓝”。 “影子经纪人”(The Shadow Brokers)4月泄露了该SMB漏洞利用,但恶意软件研究人员表示,其它威胁也在使用这款NSA漏洞利用,例如自4月24日开始活跃的比WannaCry还厉害Adylkuzz虚拟货币挖矿僵尸网络。有相当一部分设备没有被WannaCry感染,就是因为它们已经被Adylkuzz率先霸占。
远程访问木马
安全公司Cyphort的专家在一个蜜罐服务器上发现的证据表明,威胁攻击者5月初就已经在利用这个漏洞传播隐秘的远程访问木马(RAT),而非勒索软件。这款RAT不具有WannaCry的蠕虫功能,有证据表明这个RAT是从IP(182.18.23.38)发出的。
Cyphort在分析中写道,一旦漏洞利用成功,攻击者会将加密有效载荷作为Shellcode发送。该Shellcode通过带有密钥“A9 CA 63 BA”的XOR(一种数学逻辑运算)加密。Shellcode具有一个嵌入式二进制DLL文件,该文件可算作木马,可以下载其它恶意软件,并接收控制器的命令。
一旦感染系统,恶意代码会关闭445端口,阻止其它恶意软件滥用同样的SMB漏洞,攻击者可能是不想其它威胁搀合进来。由此表明,攻击者知道“永恒之蓝”漏洞。
研究人员认为,这起攻击是Mirai的幕后黑客组织所为,因为这两者的攻击指示器(IOC)存在相似之处。
这款木马设置以下注册表运行条目下载并执行其它恶意软件。
该恶意软件试图删除大量用户,并终止和/或删除多个文件或进程。专家们还注意到,它连接到与ForShare 8.28网站上托管的远程访问工具。
命令与控制服务器可以指示该恶意软件执行各种命令,包括监控视频、捕获音频和视频、监控击键、传输数据、删除文件、终止进程、下载并执行文件等。
躲避式攻击
Secdo公司也发布分析报告宣称,WannaCry爆发几周之前,他们就发现了滥用“永恒之蓝”漏洞利用的证据,可以证明多个组织在利用“永恒之蓝”。
Secdo发现一种新的躲避式攻击(不留下任何痕迹),四月中旬以前,一直在使用NSA漏洞利用感染组织机构,而勒索软件是最明显的有效载荷。
研究人员还报告称,威胁攻击者正在使用基于“永恒之蓝”的蠕虫感染被劫持网络中的所有设备,并渗漏登录凭证。
“无文件”恶意软件
Heimdal的专家最近发现UIWIX勒索软件,这是一个“无文件”恶意软件,其利用的也是“永恒之蓝”。与WannaCry一样,UIWIX利用Windows SMB协议中的同一个漏洞,但后者在利用“永恒之蓝”之后,有能力在被感染系统内存中运行。
4月末,Secdo的专家证实,他们发现了另一个利用EthernalBlue的攻击,并称威胁攻击者使用僵尸网络传送后门。这款恶意软件开始会在lsass.exe内创建线程(LWP),这与登录凭证窃取攻击类似,它不会静静存在于内存中,其初始有效载荷连接回端口998(2.x.x.x)上的C&C服务器,下载已知的Rootkit后门(基于Agony)。文件被丢进666.exe下的%programdata%。现有NG-AV厂商能阻止666.exe运行,但却不能组织恶意线程在lsass.exe内运行。
新病毒“永恒之石”利用了7大NSA黑客工具,其中就包括“永恒之蓝”。
由此可见,WannaCry爆发几周之前,至少有三个不同的黑客组织利用“永恒之蓝”漏洞,这意味着,安全界很大一部分人无法监控威胁或无法共享观察到的攻击信息。
“永恒之蓝”攻击的成功体现出网络安全目前模式的失败。
“永恒之蓝”威胁仍在
如何预防?
“永恒之蓝”工具利用的是微软Windows操作系统的SMBv1协议中的安全漏洞,其利用代码主要针对Windows XP、Windows7、Windows Server 2008等,这些版本的操作系统占桌面、服务器操作系统的大部分。未经身份验证的攻击者可以向目标机器发送特制报文触发缓冲区溢出,导致在目标机器上远程执行任意代码,因而此次事件对于Windows的影响非常严重。“永恒之蓝”工具会扫描开放445文件共享端口的Windows机器,只要用户开机上网,黑客就可能在电脑和服务器中植入勒索软件。目前微软已发布补丁MS17-010修复了“永恒之蓝”工具所利用的系统漏洞。
请还没有进行任何处理的电脑小白们尽快将系统升级到服务期内的版本并及时安装可用的补丁。如果无法升级到服务期内的版本,建议用户部署基本的防火墙,禁止电脑直接使用公网IP。
在Windows系统上关闭不必要开放的端口,如445、135、137、138、139等,并关闭网络共享。
定期备份重要文件数据。
E安全目前已经将部分Windows版本的独立安全更新包找到了对应的下载地址。请各位读者直接按照您自己的实际Windows版本下载对应的安全更新包安装,如果版本不对应的话安装会系统提示不适用之类。
面向Windows XP SP2的修复更新KB4012598:
64位版Windows XP Service Pack 2:
面向Windows XP SP3的修复更新KB4012598:
32位版Windows XP Service Pack 3:
注:该版本确实是微软提供给SP3的但也确实发错了,众多用户遭遇到了无法正常安装的情况。
面向Windows Server 2003的修复更新KB4012598:
64位版Windows Server 2003:
面向Windows Vista的修复更新KB4012598:
64位版Windows Vista:
32位版Windows Vista:
面向Windows 7的修复更新KB4012212:
64位版Windows 7:
32位版Windows 7:
面向Windows 8的修复更新KB4012598:
64位版Windows 8:
32位版Windows 8:
面向Windows 8.1的修复更新KB4012598:
64位版Windows 8.1:
32位版Windows 8.1:
面向Windows 10的修复更新KB4012606:
64位版Windows 10:
32位版Windows 10:
面向Windows 10的Windows SMB修复更新:
请点击开始菜单—小齿轮(设置)—更新与安全—Windows Update—检查更新—提示无更新说明已经安装了。
Windows 10 Version 1703版对此漏洞免疫,因此使用该版本的用户不需要进行任何操作比如关闭端口。
免疫指的是已经封堵了445端口漏洞因此无需操作,如果你手抖自己运行病毒那么抱歉全部给你加密了。
安恒信息“永恒之蓝”勒索病毒应急包汇总:
http://www.dbappsecurity.com.cn/%E5%AE%89%E6%81%92%E4%BF%A1%E6%81%AF%E5%85%B3%E4%BA%8E%E6%9C%80%E6%96%B0%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E5%AE%89%E5%85%A8%E5%A4%84%E7%BD%AE%E5%B7%A5%E5%85%B7%E9%9B%86.rar
微信无法打开第三方链接,长按识别下方二维码打开更新包链接:
E安全要闻简讯
官网:
2017年5月