首頁 > 資安知識庫 > 駭客攻防與惡意程式威脅 > 惡意程式、病毒與木馬

思科Talos安全團隊深度解析“WannaCry"勒索軟體

作者:Martin Lee、Warren Mercer、Paul Rascagneres和Craig Williams -2017 / 05 / 25 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪


 

要點綜述

據報導稱,全球多家組織遭到了一次嚴重的勒索軟體攻擊,西班牙的Telefonica、英國的國民保健署、以及美國的FedEx等組織紛紛中招。發起這一攻擊的惡意軟體是一種名為“WannaCry”的勒索軟體變種。

該惡意軟體會掃描電腦上的TCP 445埠(Server Message Block/SMB),以類似於蠕蟲病毒的方式傳播,攻擊主機並加密主機上存儲的檔,然後要求以比特幣的形式支付贖金。

此外,Talos還注意到WannaCry樣本使用了DOUBLEPULSAR,這是一個由來已久的後門程式,通常被用於在以前被感染的系統上訪問和執行代碼。這一後門程式允許在系統上安裝和啟動惡意軟體等其他軟體。它通常在惡意軟體成功利用SMB漏洞後被植入,後者已在Microsoft安全公告MS17-010中被修復。在Shadow Brokers近期向公眾開放的工具包中,一種攻擊性漏洞利用框架可利用此後門程式。自這一框架被開放以來,安全行業以及眾多地下駭客論壇已對其進行了廣泛的分析和研究。

WannaCry似乎並不僅僅是利用與這一攻擊框架相關的ETERNALBLUE(永恆之藍)模組,它還會掃描可訪問的伺服器,檢測是否存在DOUBLEPULSAR後門程式。如果發現有主機被植入了這一後門程式,它會利用現有的後門程式功能,並使用它來通過WannaCry感染系統。如果系統此前未被感染和植入DOUBLEPULSAR,該惡意軟體將使用ETERNALBLUE嘗試利用SMB漏洞。這就造成了近期在互聯網上觀察到的大規模類似蠕蟲病毒的活動。

組織應確保運行Windows作業系統的設備均安裝了全部補丁,並在部署時遵循了最佳實踐。此外,組織還應確保關閉所有外部可訪問的主機上的SMB埠(139和445)。

請注意,針對這一威脅我們當前還處於調查階段,隨著我們獲知更多資訊,或者攻擊者根據我們的行動作出回應,實際情況將可能發生變化。Talos將繼續積極監控和分析這一情況,以發現新的進展並相應採取行動。因此,我們可能會制定出新的規避辦法,或在稍後調整和/或修改現有的規避辦法。有關最新資訊,請參閱您的Firepower Management Center或Snort.org。


1
推薦此文章
0
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…