迄今為止,我們當中的很多人都已聽說上周勒索病毒大爆發事件。該病毒於2017年5月12日席卷全球。它是WannaCryptor的一個新變種,也被稱為WannaCry和WannaCrypt,ESET公司將其檢測為Win32/Filecoder.WannaCryptor.D。該病毒具有蠕蟲特征,能夠攻陷網絡上的其他電腦。
這次攻擊目前仍在繼續,雖然規模不如以前,但卻在惡意程序爆發史上樹立了新的裏程碑。一系列綜合因素 – 部分是由於用戶疏忽 – 致使這一勒索蠕蟲能夠造成如此巨大的損失。
本文中,我們將探討用戶應從這一事件中汲取的教訓,並預測未來演變趨勢。同時我們還提供了簡單腳本,方便用戶用來檢查自己的Windows系統是否已安裝永恒之藍防護補丁。
永恒之藍及WannaCry的蠕蟲特征
永恒之藍是利用系統漏洞發起攻擊的工具名稱,能夠使WwannaCry具備自我復制能力,因此能利用網絡迅速傳播。據稱,最初是美國國家安全局開發了這一工具。
這就是為何說此次病毒大爆發,可追溯至美國國家安全局網絡武器泄密事件的由來,據說名為暗影經紀人的組織竊取了相關網絡武器。該組織曾一度試圖拍賣網絡武器,但未能如願以償,因難以獲利而一改初衷,決定一對一變賣美國國家安全局的竊密工具。
3月14日,微軟公司發布了MS17-010號安全補丁,修復了伺服器信息塊中存在的關鍵漏洞。當時尚不明確,該補丁與美國國家安全局的網絡武器之間存在任何關聯。直到4月14日,暗影經紀人組織發布了很多已竊取工具之後,此事才顯露出端倪。
安全補丁發布和漏洞攻擊工具泄露之間的時間差,引發了有關整個事件演變過程的一些猜測。總體而言,當時的實際情況如下:通過Windows更新程序,發布永恒之藍安全漏洞補丁的同時,該工具本身也現身網絡。
打補丁和漏洞攻擊之間的時間競賽隨即展開。自那以後,永恒之藍之所以泛濫成災、被越來越多地利用,也絕非巧合。
5月12日,永恒之藍成為已提到大規模染毒事件的主角。網絡罪犯已掌握了所有必要工具:從四月初就開始在網上活躍的勒索病毒WannaCryptor(也稱為WannaCry),以及漏洞攻擊工具永恒之藍。
即使如此,家庭用戶尤其是公司企業本可以通過多種渠道,擺脫這一勒索病毒的感染。首先,早在兩個月之前,永恒之藍補丁就已公開發布。
雖然該補丁與防範勒索病毒的加密機制無關,但它能夠阻止主機不被同一網絡中的另一臺已染毒主機所感染。此外,主機上安裝的主動防禦軟件,例如漏洞攔截工具或(及時更新的)防毒軟件套裝都能夠防止系統染毒,並在惡意軟件攻陷網絡防禦層之後,成功攔截攻擊。
其次,針對連網主機進出站數據采取一定程度控制措施,也大有裨益。許多公司都要求員工下班時關閉電腦,害怕遭遇網絡攻擊。但如果能夠將連網主機隔離開來並提高病毒查殺能力,此類極端做法便可以成為過去式。
未來演變趨勢如何?
周五晚間,有關勒索病毒中含有啟動開關的新聞見諸報道。@MalwareTech留意到,惡意程序會首先發出一條HTTP請求,並在連接失敗後轉入加密操作。
由於網域原先並未註冊,所有請求都會失敗,繼而啟動勒索軟件加密文件的進程。但在註冊所請求的網域後,@MalwareTech便可以將連接請求轉向應答服務器,從而阻止勒索病毒(首個變種)傳播。
迄今為止,此次攻擊所獲收入剛剛超過50,000美元,與它所造成的損失相比不值一提。但它再一次表明,利用漏洞發起攻擊(不一定是零日攻擊)對公司企業的正常經營可能造成巨大影響。
網絡罪犯的此類快速反應表明,與惡意軟件作鬥爭絕非是一項輕而易舉的任務。他們下手快、適應性強,此次成功得手後,我們預計網絡罪犯將如法炮制更多工具和攻擊方式,因此我們每個人都應當做好應對更多攻擊的準備,尤其是在不遠的未來。
長期來看,我們很可能將目睹更多蠕蟲類惡意程序現身,而在短期內,還將遭遇各類變種利用永恒之藍發起漏洞攻擊的密集攻勢。因此,務必打上系統補丁!
我的系統是否已打上永恒之藍防護補丁?
這次勒索病毒大爆發之余,我不禁自問,自己的電腦是否打上了永恒之藍防護補丁 – 請記住,不遠的將來,或可出現利用永恒之藍發起攻擊的其他類型惡意程序及其家族。
用於本機驗證目的:我編寫了一個簡單腳本,能夠提取系統中已安裝補丁列表,搜索針對永恒之藍的相關防護補丁。
該腳本已通過GitHub發布,使用非常簡單:只需執行腳本,等待一分鐘左右時間,待腳本調用WMCI提取已安裝補丁列表後,最終便可看到永恒之藍補丁是否已經安裝。
NMAP v7.40(或更高版本)均可運行以下命令行:
nmap -sC -p445 –open –max-hostgroup 3 –script smb-vuln-ms17-010.nse X.X.X.X/X
最後重申,打補丁是對付永恒之藍的最佳防禦措施,因為它能夠解決相關工具所針對的漏洞根源。