2017年3月14日,白色情人節(jié)這天,微軟發(fā)布了編號為MS17-010的Windows SMB服務(wù)器安全更新。該更新修復(fù)了攻擊者可通過向SMB v1服務(wù)器發(fā)送特定消息實現(xiàn)遠(yuǎn)程代碼執(zhí)行的漏洞。而我們的技術(shù)團(tuán)隊在之后也對該漏洞進(jìn)行了技術(shù)分析——《NSA Eternalblue SMB 漏洞分析》。
出現(xiàn)漏洞,打上補丁,看起來應(yīng)該是萬事大吉了。但理想很豐滿,現(xiàn)實很骨感,骨感到令我們這些喝涼水都長肉的胖子羨慕不已……
4月底開始,我們開始關(guān)注到接連有網(wǎng)友反饋中了onion勒索病毒,通過對受害者的協(xié)助調(diào)查,發(fā)現(xiàn)中毒機器在這段時間都出現(xiàn)過系統(tǒng)異常重啟,被安裝挖礦機甚至遠(yuǎn)控的情況。經(jīng)過大量分析實驗,我們確認(rèn)了攻擊手法——Eternalblue(永恒之藍(lán))的Nday漏洞攻擊。
隨著360對勒索病毒“永恒之藍(lán)”攻擊的攔截數(shù)據(jù)不斷上漲,我們認(rèn)為,沒有打補丁、沒有安裝360的電腦會面臨巨大風(fēng)險。于是在5月12日下午,360安全衛(wèi)士官方微博首次向公眾披露了NSA“永恒之藍(lán)”黑客武器已經(jīng)被勒索病毒利用,此后各種報警數(shù)據(jù)也持續(xù)飆升,出現(xiàn)勒索病毒大量爆發(fā)的現(xiàn)象,并且新增了一批名為WNCRY的勒索病毒家族,相比onion更為兇狠直接。病毒攻擊大量集中在各大高校以及能源、交通和各種其他公共服務(wù)單位。而傳播手段,正是我們此前確認(rèn)的這個名為“永恒之藍(lán)(Eternalblue)”的Nday漏洞進(jìn)行傳播。
Eternalblue
既然事件由這個漏洞而起,我們就說說這個漏洞到底是什么。詳盡的技術(shù)分析上面已給出報告鏈接,我們這里只做一些較為通俗的解釋:
上面也說了,該漏洞存在于微軟的SMB服務(wù)器中。一說“服務(wù)器”,可能不少人會覺得這和個人電腦沒什么關(guān)系——這您就錯了。雖然叫做服務(wù)器,但這個SMB服務(wù)器卻是Windows系統(tǒng)的“標(biāo)配”。
說一個很簡單的方法:打開命令行(cmd或powershell都可以),輸入命令:netstate -an,在列出的所有信息中查找有沒有本地端口為445且狀態(tài)為LISTENING的一條(如下圖,一般在比較考前的位置),如果有——那么您的電腦上也存在這么一個“服務(wù)器”,而且是出于激活的狀態(tài)。
當(dāng)然,如前文所述,這個服務(wù)是系統(tǒng)的“標(biāo)配”,有這么一個監(jiān)聽狀態(tài)的端口開啟是很正常的事情,大家本不需要為此而驚慌。但不正常的是該服務(wù)出現(xiàn)了遠(yuǎn)程代碼執(zhí)行的漏洞——說通俗點就是:大灰狼唱了“小兔子乖乖,把門開開”之后,屋里的小兔子就真的去開門了……
使用工具,我們很輕松的就通過該漏洞從虛擬機外向虛擬機中成功寫入了一個測試文本文件:
當(dāng)然,如果是黑客掃描到了帶有漏洞的機器打開的端口,所做的事情就不是寫如一個文本這么單純的了。
攻擊者做了什么
既然攻擊者不會像我們這樣簡單的寫個文本就走人,那么攻擊者到底做了什么呢?
很簡單,攻擊者會投放一個木馬到受害者電腦:
5月12日晚上,我們聯(lián)系到了一個典型受害者,該受害者是某大學(xué)在校生,5月13日要進(jìn)行答辯了,卻在答辯前一天下午感染了敲詐者木馬,導(dǎo)致答辯PPT被加密……
通過分析受害者系統(tǒng)日志,發(fā)現(xiàn)12日17:52的時候出現(xiàn)過一個很詭異的服務(wù)啟動記錄:
進(jìn)而查找服務(wù)項,發(fā)現(xiàn)該服務(wù)雖然當(dāng)時已停止,但依然存在于系統(tǒng)中并會隨每次系統(tǒng)開啟而自動啟動:
最終順藤摸瓜,我們找到了用于加密的木馬本體以及其釋放的其他文件:
木馬說明
木馬會創(chuàng)建注冊表項HKCU\Software\WanaCrypt0r,并設(shè)置一個名為wd的鍵,值為木馬當(dāng)前路徑:
同時木馬備有三份錢包地址用于收款(隨機展示):
以及設(shè)置隱藏和獲取權(quán)限一些常規(guī)操作
之后,就進(jìn)入常規(guī)的文件加密過程,并沒有特別的操作也就不再贅述了。被加密的文件類型共有179種,如下:
.doc, .docx, .docb, .docm, .dot, .dotm, .dotx, .xls, .xlsx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .ppt, .pptx, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .pst, .ost, .msg, .eml, .edb, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .jpeg, .jpg, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
比較新奇的反倒是加密結(jié)束后的勒索信息展示程序,該程序共支持28種語言且翻譯的非常專業(yè)(應(yīng)該不是簡單的機器翻譯):
由此也可以看這波木馬“國際范兒”的野心(從此次木馬搞出來的動靜來說,也確實夠得上這種國際范兒了)。
防范與補救
防范這事兒其實是老生常談:
1. 一定要及時的更新軟件,安裝系統(tǒng)補丁!切記!
2. 一定要安裝殺毒軟件!切記!
不知道當(dāng)年“殺軟無用論”和“補丁拖慢系統(tǒng)論”的鼓吹者是如何用自己精準(zhǔn)的意識和風(fēng)騷的走位躲過這次危機的。
已經(jīng)中毒事后補救,也無非是上面的兩點:打全補丁,全盤殺毒。
至于被加密的文件,我們通過分析病毒加密邏輯的漏洞,已經(jīng)找到有一定成功率的文件恢復(fù)方案,并在5月14日凌晨向公眾發(fā)布了恢復(fù)工具
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹(jǐn)慎對待。投資者據(jù)此操作,風(fēng)險自擔(dān)。
2024年的Adobe MAX 2024發(fā)布會上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實質(zhì)性的幫助,雙十一期間低至2799元,性價比很高,簡直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會——工業(yè)互聯(lián)網(wǎng)標(biāo)識解析專題論壇在沈陽成功舉辦。