WannaCry勒索软件分析之永恒之蓝漏洞研究 大规模网络攻击背后的技术真相
WannaCry勒索软件事件简介
5月12日20时左右,全球爆发大规模勒索软件WannaCry(魔窟)感染事件,多个行业均遭受不同程度的影响。我国有不少高校学生反映电脑被恶意病毒攻击,文档被加密。与此同时,国内的ATM机、火车站、自助终端、邮政、医院、政府办事终端、视频监控都可能遭受攻击。
一旦电脑感染了Wannacry病毒,受害者要缴纳数量不等的比特币勒索金才可解锁。否则,电脑无法使用,且文件会被一直封锁。据分析勒索者源头来自暗网,攻击具备兼容性、多语言支持。根据欧洲刑警组织公开的声明显示,Wannacry已经攻击了全球至少150多个国家和地区,10万家组织和机构受到损失,影响了20多万台电脑。
严格上来说,Wannacry是一款新型的勒索蠕虫病毒,蠕虫病毒在网络攻击形态中,属于比较低级的存在。但本次的勒索蠕虫病毒,其传播范围之大,影响之广,是因为其利用了一个高危的漏洞,即永恒之蓝(EternalBlue)漏洞。
攻击源头与过程追溯
2017年4月14日,黑客组织影子经纪人(Shadow Brokers)泄露出一份文档,其中包含了多个 Windows 远程漏洞利用工具,可以覆盖全球 70% 的 Windows 服务器,影响巨大。据传在2016 年 8 月,影子经纪人号称入侵了方程式组织,窃取了大量机密文件,并将部分文件公开到了互联网上。方程式(Equation Group)组织据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下黑客工具。
2017 年 4 月 8 日,影子经纪人公布了保留部分的解压缩密码,有人将其解压后上传到Github网站提供下载。4 月 14 日晚,继上一次公开解压密码后,影子经纪人在推特上放出了第二波保留的部分文件, 此次发现其中包括新的23个黑客工具。具体请参考:https://github.com/misterch0c/shadowbroker/blob/master/file-listing。这些黑客工具被命名为OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,EternalBlue,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。
据分析,全球可能受到影响的超过750万台服务器,中国可能有超过133万受到影响。其中全球约有542万的RDP服务和约有208万的SMB协议服务运行在windows上(仅为分布情况,非实际漏洞影响),其中,中国地区超过101万RDP服务对外开放,SMB协议超过32万。据测试,从windows 2000到Windows2008都受到这工具包中影响,成功率非常之高。
永恒之蓝(EternalBlue),就是本次放出的工具之一,永恒之蓝针对SMBv1和SMBV2漏洞,影响操作系统范围从Windows XP到windows 2012等多款微软的操作系统。它是一个远程命令执行(RCE)漏洞利用,通过SMB(Server Message Block)和NBT(Net BIOS over TCP/IP)影响多款操作系统。漏洞发生处为C:\Windows\System32\drivers\srv.sys,srv.sys是Windows系统文件。漏洞的原因在于srv.sys在处理SrvOs2FeaListSizeToNt的时候逻辑不正确导致越界拷贝。它调用SrvOs2FeaListSizeToNt计算pNtFea的大小。该函数会修改原始的pOs2Fea中的Length大小,然后以计算出来的Length来分配pNtFea。最后调用SrvOs2FeaToNt来实现转换。由于它改变了pOs2Fea的length的值,使用变大后的值做比较,从而触发缓冲区溢出漏洞。
永恒之蓝漏洞利用过程
在分析了代码产生的原因之后,我们来复现漏洞的利用过程。这里我们使用合天网安实验室提供的一个教学实验进行体验。合天网安实验室(http://hetianlab.com/)是一个在线的网安安全实验学习平台,以云主机的方式对外提供服务,包含了700多个各种类型的实验,用户借助互联网就可以安全的进行网络安全学习。
永恒之蓝漏洞利用过程如下:
1.永恒之蓝溢出攻击
第一步我们使用永恒之蓝探测目标机器使用存在SMB漏洞,并溢出攻击目标机器。在使用永恒之蓝之前,我们要配置目标机器IP,项目名称,操作系统类似,传输方式等信息,配置完之后,使用永恒之蓝探测攻击目标机器,如下图:
永恒之蓝会在Dos命令行给出滚动提示,最终给出结果,如下图绿色表示永恒之蓝成功执行,失败显示红色。
2.Metasploit制作后门
使用Metasploit生成一个恶意的DLL。此DLL可以通过Metasploit监听,并执行系统shell。
3.Doublepulsar 植入后门
我们使用后门程序Doublepulsar 来加载生成的恶意 dll文件,如下图,选择协议类型,操作系统位数等信息,
然后执行,会提示我们成功。
4.metasploit获得Shell
在后门程序植入DLL成功之后,我们就会在Metasploit监听窗口,发现返回了系统Shell,如下图:
此时我们已经利用永恒之蓝获取到了一个系统shell,并且是最高的system权限。目标系统控制权已经被获取。
由于操作过程比较长,限于篇幅,我们只列出关键步骤。感兴趣的读者可以访问合天网安实验室,查找《Windows最新0day利用》实验体验。:
修复建议及带来的安全思考
针对勒索病毒软件WannaCry,网上有很多的防护措施,国内很多安全厂商都提供了解决方案,最根本的还是及时更新操作系统补丁,微软2017年3月14号发布了MS17-010补丁,安装该补丁后可以防止该次攻击。
本次WannaCry勒索病毒事件影响巨大,但同时也给了我们很多思考。笔者根据自己的个人经历,整理了一点浅见,供大家参考。
第一,企业内网传统的重边界安全、忽略终端安全的思路需要改进。本次勒索病毒事件中,感染用户以企业内网用户居多,个人电脑用户反而较少。这和企业内网用户终端补丁更新不及时、日常安全管理意识较差不无关系。
第二,内网隔离不能一隔了之,隔离网不是安全的自留地。多年来,我们强调内外网隔离的思想,认为网络隔离是解决网络安全问题最有效的方式,有些单位的信息安全工作人员潜意识以为,只要隔离就能安全解决问题。但随着互联网时代的日益兴盛,网络边界越来越不清晰,也有更多的技术手段可以轻易突破网络边界。此次事件中招的大部分是企业和机构内网以及物理隔离网,事件证明,隔离不是万能的。如果没有任何安全措施,一旦被突破,瞬间全部沦陷,所以在隔离网里要采取更加有效的安全措施。
第三,打好基本功,安全在平时。在这次攻击中,所有及时更新操作系统补丁的用户基本都感受不到这次攻击的影响。从3月份微软发布补丁,到5月份漏洞爆发,留给我们进行安全防护的时间窗口是足够的,之所以发生问题还是本来应该是“安全响应”的常规工作没有做,生生拖成了“安全应急”。
相关阅读