首页 运维杂谈WannaCry攻陷全球,这一次我们会引以为戒吗?

WannaCry攻陷全球,这一次我们会引以为戒吗?

运维派是国内成立最早的IT运维技术社区,欢迎关注公众号:yunweipai

编辑:谢丽、小运

策划:木环

WannaCry 来袭!

2017 年 5 月 12 日,一款勒索软件 WannaCry 攻击了包括西班牙、英国、意大利、俄罗斯、中国在内的众多国家;迫使英国多家医院的患者转院治疗,法国数家雷诺工厂停止生产,西班牙电信和燃气公司停转,俄罗斯国家内务部门千余台电脑被攻击,德国铁路信息系统受到干扰,中国银行、警局和学校等机构亦受到不同程度影响。

WannaCry

WannaCry(又名 WanaCryptOr 2.0、WannaCry 以及 WCry)到底是何方神圣?

WannaCry 的工作原理

WannaCry 是一种“勒索软件”,其负责对受害者计算机上的文件进行锁定,并通过加密确保用户无法对其进行正常访问。影响范围甚广的勒索软件还既“贴心”又招摇地准备了 28 国语言的勒索信息。

勒索软件

WannaCry 是如何传播的?

勒索软件可通过用户点击恶意链接或者下载恶意代码的方式入侵您的计算机,其随后会掌握您的有价值信息并借此索取赎金。

着眼于 WannaCry 案例,该程序会对您的文件进行加密,并要求受害者支付比特币赎金以恢复访问权限。安全专家们警告称,即使支付赎金,受害者仍不能保证自己的文件被顺利恢复。几天之后,黑客方有可能提高恢复加密文件的赎金额度,并威胁如拿不到比特币即将其彻底删除。

另外,目前也出现了不少相关的变体:这些其它形式的勒索软件执行程序能够将您的计算机设备完全锁定,而仅显示了条消息以提供支付赎金的时限与方式。其中部分勒索软件的弹窗很难甚至根本无法关闭,意味着用户几乎不能正常使用自己的计算机。

WannaCry 有何特别之处?

WannaCry 不仅仅是一款勒索软件,其同时亦是一种蠕虫病毒。这意味着一旦其进入您的计算机,即会主动寻找其它计算机并尽可能将自身传播到更多设备当中。

勒索软件通常会随时间推移而变异,这意味着其将不断进行调整以找到更多行之有效的计算机设备入侵或者补丁回避方法(操作系统更新当中通常会包含有安全更新)。目前已经有众多安全企业意识到WannaCry 的过去几种肆虐形式,并着眼于其当前的版本考量如何对这场攻势加以阻扼。

已经有多家网络安全企业表示,WannaCry 利用了微软公司已经于今年 3 月发布相关补丁的漏洞。由于用户们往往不会及时在其计算机设备上安装更新与补丁程序,因此这意味着安全漏洞往往会长时间存在并导致黑客能够借此实施入侵。

WannaCry 所利用的这项 Windows 操作系统安全漏洞据信源自上个月泄露的美国国家安全局内部黑客工具及文件。在互联网公布此批资源的为“影子经纪人(Shadow Brokers)”,其表示这批资源来自某台秘密国安局服务器。

这项漏洞被称为“永恒之蓝”,而其在系统中所使用的后门则被称为“双脉冲星”。

影子经纪人组织的真实身份目前仍然是谜,不过相当一部分安全专家认为这支 2016 年才刚刚出现的集团可能与俄罗斯政府有所关联。国家安全局与微软双方都没有立即对询问给出回复。

暂时的安全与未除的隐患

在英国,国民健康服务体系(NHS)因为受到攻击而运营中断,X 光检查无法进行,检查结果和病历无法访问。但是,病毒传播突然停止了,因为一名 22 岁的网络安全研究人员 @malwaretechblog 在 Darien Huss(来自安全公司 Proofpoint)的帮助下无意间发现并激活了恶意软件中的 Kill Switch。他在接受采访时说:

我中午和朋友出去吃饭,在大约 3 点回来的时候,我看到网上突然出现了大量有关 NHS 和多个 UK 组织遭到攻击的新闻。我大致了解了一下,然后找到了一个恶意软件样本,我发现它正在连接一个特定的域名,那个域名并没有被注册。所以,我是无意间发现的,我那会并不知道它在做什么。

为了防止创建者想要阻止病毒传播,Kill Switch 被硬编码在恶意软件中。其中包括一个非常长的、没有意义的域名,恶意软件会向它发送请求,如果请求返回,则表明域名是活的,Kill Switch 就会发挥作用,而恶意软件就会停止传播。一经注册,该域名每秒就登记成千上万的连接。

按照 MalwareTech 的说法,他之所以购买这个域名,是因为他的公司追踪僵尸网络,通过注册这些域名,他们可以深入了解僵尸网络如何扩散。他说,“我的初衷只是监控其传播,看看我们后续是否可以做点相关的工作。但我们竟然通过注册这个域名阻止了传播。”但他很快就意识到“我们还需要阻止其他的攻击方法”。他计划继续持有该 URL,和他的同事一起收集 IP,并发送给执法机关,由他们通知被感染的受害者,因为并不是所有被感染的人都知道自己被感染了。同时,他建议人们升级系统,并补充说:

这事还没完。攻击者会意识到我们如何阻止了它的传播,他们会修改代码,然后重新开始。务必启用 Windows 升级功能,升级然后重启。

来自 Proofpoint 的 Ryan Kalember 表示,@malwaretechblog 注册这个域名太晚了,没能帮助欧洲和亚洲,因为许多组织已经被感染了。Kill Switch 并不能帮助那些已经被勒索软件感染的计算机。但是,他让美国人有更多的时间在被感染之前升级他们的系统,提高防护能力。另外,可能会有包含不同 Kill Switch 的恶意软件变种继续传播。

3 月份,微软发布了一个补丁  

3 月份的时候,微软发布了一个安全升级补丁,用于消除这些攻击利用的漏洞。已经启用 Windows 升级功能的用户可以抵御针对这个漏洞的攻击。微软建议,那些没有应用安全升级补丁的组织应该立即部署 Microsoft Security Bulletin MS17-010。对于使用 Windows Defender 的用户,微软发布了一个可以检测到 Ransom:Win32/WannaCrypt 威胁的补丁。另外,微软提醒用户:

攻击类型可能会随时间进化,因此,任何额外的深度防护策略都会提供额外的防护。(例如,为了进一步抵御 SMBv1 攻击,用户应该考虑阻断他们网络中的遗留协议)。

……

已经观察到的部分攻击使用了常见的钓鱼式攻击策略,包括恶意附件。用户在打开来自不受信任或未知来源的文档时要保持警惕。对于 Office 365 用户,我们会继续监控和升级,以抵御这类威胁。

更多信息可以见 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

各方支招

尽管网络安全专家正在争相解密,但目前还没有已知的可行方法恢复受影响文件。印度计算机应急小组(CERT-In)已经发布一项高危警报通知,要求所有系统管理员与用户应用微软发布的安全补丁以修复这项漏洞。其同时建议用户备份关键性数据,并最好能够将副本保存在未接入局域网络的外部磁盘驱动器或者隔离系统当中。

与此同时,国内大厂也纷纷支招:

360 公布了永恒之蓝 病毒分析报告,并且提供了查杀恢复工具 https://dl.360safe.com/recovery/RansomRecovery.exe 。用户需下载使用“360 勒索蠕虫病毒文件恢复工具”恢复被加密的文件,扫描后选择要恢复的文件并且最好保存在干净的移动硬盘或 U 盘中。360 同时给出了应急处置办法:阻断 445 端口访问,关闭尚未安装补丁的 server 服务,对已经感染的机器隔离处理,重要业务立即数据备份等。

腾讯安全联合实验室在知乎上发布帖子建议临时关闭 445、135、137、138、139 端口的网络访问权限,并手动导入 IP 安全策略。(https://www.zhihu.com/question/59768771)

阿里云称其于 4 月 15 日发布过关于 Windows 系统 SMB/RDP 远程命令执行漏洞的高危预警。目前阿里云称其已经默认关闭开放 455 端口,且默认安装 Windows 官方补丁。SMB 漏洞预警 https://m.aliyun.com/bbs/read/312815.html

建议各位用户谨慎点击未经请求或者陌生电子邮件中给出的链接。另外,在使用微软 Outlook 中的宏功能前请务必小心再小心,同时验证来源。如果必须点击某条链接,则更为安全的作法在于关闭当前访问电子邮箱帐户的浏览器或者用于邮件访问的软件,而后在新打开的浏览器容器中直接前往链接站点。最后,更新反病毒软件并启用防火墙亦能够提升您的安全保障水平。

很多机构没有持续更新电脑系统的习惯,这为病毒传播创造了可能。虽然两个月前发布的安全更新补丁可以应对此问题,但是很多用户还没有安装。微软首席法务官 Brad Smith 称:“我们看到了中情局(CIA)将漏洞备案到维基解密中,这个漏洞从 NSA 那里被泄露并被利用酿成了这场世界性问题”。“网络犯罪正在变得越来越复杂,用户们保护自己最简单的办法唯有更新系统。”Smith 认为这次事故的严重程度可以与美国军方武器被偷走相提并论,并且呼吁世界政府将此次袭击视为警钟。

文章来自微信公众号:高效开发运维

本文链接:http://www.yunweipai.com/17672.html

网友评论comments

发表评论

电子邮件地址不会被公开。 必填项已用*标注

  1. 任务易说道:

    中国的杀毒软件展现的时候到了,最后还是360赢了

Copyright © 2012-2020 YUNWEIPAI.COM - 运维派
扫二维码
扫二维码
返回顶部