2017年5月12日（上周五），勒索軟件變體WannaCrypt惡意軟件（也作WCry、WannaCry或WanaCrypt0r）在全球范圍內(nèi)爆發(fā)，攻擊目標是全球范圍內(nèi)的電腦，并成功擊垮了全球數(shù)十家企業(yè)。攻擊受害者包括中國的大學、俄羅斯聯(lián)邦內(nèi)政部、英國國家醫(yī)療服務(wù)系統(tǒng)以及包括聯(lián)邦快遞、西班牙電信公司Telefonica和法國汽車制造商Renault等在內(nèi)的企業(yè)。

　　Radware ERT研究團隊針對這一持續(xù)肆虐的惡意軟件做了深入研究分析，本文在概述了該惡意軟件的運作方式以及Radware的分析結(jié)果。

　　此攻擊是利用最新披露的微軟網(wǎng)絡(luò)文件共享SMB協(xié)議漏洞進行傳播的。CVE-2017-0144，也就是MS17-010i是微軟于2017年3月14日發(fā)布的安全更新，可以解決這些問題并修復(fù)遠程代碼執(zhí)行漏洞。當前的勒索軟件攻擊活動針對的是尚未安裝更新的電腦。

　　2017年4月，一個自稱“影子經(jīng)紀人”的黑客團體泄露了包括FuzzBunch在內(nèi)的多個開發(fā)工具。FuzzBunch框架內(nèi)部包含EternalBlue和DoublePulsar等Windows遠程漏洞利用工具。

　　影子經(jīng)紀人公布的DoublePulsar SMB是可以分發(fā)惡意軟件、發(fā)送垃圾郵件或發(fā)起攻擊的后門漏洞。EternalBlue是可以影響微軟服務(wù)器信息塊（SMB）協(xié)議的遠程代碼漏洞。攻擊者還可以利用EternalBlue漏洞獲得未授權(quán)訪問權(quán)限并將WannaCrypt傳播到網(wǎng)絡(luò)中的其他電腦中。

　　攻擊者似乎也利用Fuzzbunch或Metasploit（類似工具）模塊發(fā)起攻擊。在Github page 中可以找到所有發(fā)起針對擁有已泄露SMB服務(wù)的電腦的攻擊需要的漏洞利用、有效負載和掃描儀。

　　WannaCry的執(zhí)行有幾個步驟：傳播、加密和TOR通信。WannaCry只需獲得一次網(wǎng)絡(luò)訪問權(quán)限就可以自動傳播到其它終端，因此具有創(chuàng)新性，并且可以同其它勒索活動一樣，針對盡可能多的攻擊目標。

　　WannaCry可以掃描電腦的445端口，利用EternalBlue獲取訪問權(quán)限，并將WannaCrypt惡意軟件部署到電腦中（利用到了惡意軟件下載器DOUBLEPULSAR）。從這一刻開始，蠕蟲就可以以相同方式掃描附近的電腦，并開始在網(wǎng)絡(luò)中橫向移動，將惡意負載轉(zhuǎn)移到更多終端。

　　與其他已知勒索軟件（Locky、Cryptowall等）一樣，在任何出站通信之前可以第一時間執(zhí)行加密過程。

　　TOR通信并不一定非要通過HTTP才可以完成，也不是其它階段的初始先決條件。勒索軟件可以嵌入到TOR客戶端，因此無需執(zhí)行出站通信就可以下載。此過程只用于與C2服務(wù)器共享加密密鑰。

　　終止了第一個可執(zhí)行文件并檢查kill switch域之后，WannaCrypt還將終止另一個可以掃描IP地址的可執(zhí)行文件，并嘗試通過445/TCP端口中的SMB漏洞連接到這些設(shè)備中。如果網(wǎng)絡(luò)中存在另一個易受到攻擊的設(shè)備，WannaCrypt就會連接到該設(shè)備并將惡意負載轉(zhuǎn)移到設(shè)備中。

　　每臺被感染電腦的修復(fù)成本（贖金）是300美元，以比特幣支付。被感染三天之后，贖金將增加至600美元。在7天時間到期后，受害者將無法支付贖金，也無法解密文件。攻擊者利用CBC模式的定制AES-128加密被感染電腦中的文件。目前尚未有受害者在支付贖金之后得到解密密鑰的消息。通常勒索攻擊活動都要有個性化的比特幣錢包來確認誰已經(jīng)支付了贖金。在WannaCrypt攻擊中，攻擊者確認受害者是否支付了贖金的的唯一方法就是通過“聯(lián)系我們”按鈕將自己的交易ID發(fā)送給勒索者。

　　成功感染之后，WannaCrypt就會執(zhí)行可以向硬編碼域發(fā)送HTTP GET請求的文件。這就是killswitch。如果請求成功，WannaCrypt將會退出，并且不會部署，如果請求失敗，WannaCrypt就會繼續(xù)感染網(wǎng)絡(luò)中的設(shè)備。上周五攻擊活動開始之后，安全研究人員@MalwareTechBlog就注意到了killswitch域尚未注冊。他立即注冊了該域并將請求定向到了口，從而有效地防止了這一惡意軟件變體的進一步傳播。

　　對人們來說，敲詐勒索并不新鮮，網(wǎng)絡(luò)空間更是可以讓其繁榮發(fā)展的沃土。僅過去一年間，勒索攻擊的頻率就增加了一倍，2016年也是勒索成為網(wǎng)絡(luò)攻擊主要動機的一年，尤其是在歐洲。2016年，49%的企業(yè)都表示遭受了勒索贖金的勒索軟件感染或DDoS威脅。

　　隨著惡意軟件的傳播，黑客很可能還會定制惡意軟件，這就可能出現(xiàn)更多變體，就像Mirai僵尸網(wǎng)絡(luò)的源代碼在2016年秋季公開之后的情況一樣。Virus Total中的WannaCry變體包括（迄今為止有四個）：

　　

　　1.安裝微軟MS-17-010安全更新：

　　2.分段網(wǎng)絡(luò)/擁有IP的vlans可以實時生成特征碼。

　　3.一定要打補丁。

　　4.禁止直接SMB和終端服務(wù)的外部通信或進行安全配置和監(jiān)控。

　　5.考慮阻斷進行外部通信的445端口。

　　6.禁用企業(yè)內(nèi)外的TOR通信。

　　7.考慮部署零日防護措施/沙盒解決方案。

　　用戶需立即利用包含漏洞補丁的微軟MS-17-010安全更新修復(fù)電腦。此漏洞十分嚴重，微軟甚至還為此推出了自2014年以來第一個針對Windows XP的更新。無法進行更新的用戶需禁用可以直接連接的SMBv1。打開Windows features對話框并取消選擇SMB 1.0/CIFS File Sharing Support選項（見圖4）。

　　遭受攻擊并需要專家級緊急援助？Radware可以為您提供所需幫助。

　　Radware提供的服務(wù)可以應(yīng)對安全突發(fā)事件，降低風險并且可以在造成不可挽回的損失之前更好地保護操作安全。如果企業(yè)遭受了DDoS攻擊或惡意軟件爆發(fā)，需要緊急援助，可以立即與Radware聯(lián)系 。

　　Radware （NASDAQ:RDWR）是為虛擬數(shù)據(jù)中心和云數(shù)據(jù)中心提供應(yīng)用交付和應(yīng)用安全解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應(yīng)用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬家企業(yè)和運營商快速應(yīng)對市場挑戰(zhàn)，保持業(yè)務(wù)的連續(xù)性，在實現(xiàn)最高生產(chǎn)效率的同時有效降低成本。欲知詳情，請訪問：www.radware.com.cn