觀點

思科Talos安全團隊深度解析“WannaCry"勒索軟體

2017 / 05 / 25
Martin Lee、Warren Mercer、Paul Rascagneres和Craig Williams
思科Talos安全團隊深度解析“WannaCry"勒索軟體

要點綜述
據報導稱,全球多家組織遭到了一次嚴重的勒索軟體攻擊,西班牙的Telefonica、英國的國民保健署、以及美國的FedEx等組織紛紛中招。發起這一攻擊的惡意軟體是一種名為“WannaCry”的勒索軟體變種。

該惡意軟體會掃描電腦上的TCP 445埠(Server Message Block/SMB),以類似於蠕蟲病毒的方式傳播,攻擊主機並加密主機上存儲的檔,然後要求以比特幣的形式支付贖金。

此外,Talos還注意到WannaCry樣本使用了DOUBLEPULSAR,這是一個由來已久的後門程式,通常被用於在以前被感染的系統上訪問和執行代碼。這一後門程式允許在系統上安裝和啟動惡意軟體等其他軟體。它通常在惡意軟體成功利用SMB漏洞後被植入,後者已在Microsoft安全公告MS17-010中被修復。在Shadow Brokers近期向公眾開放的工具包中,一種攻擊性漏洞利用框架可利用此後門程式。自這一框架被開放以來,安全行業以及眾多地下駭客論壇已對其進行了廣泛的分析和研究。

WannaCry似乎並不僅僅是利用與這一攻擊框架相關的ETERNALBLUE(永恆之藍)模組,它還會掃描可訪問的伺服器,檢測是否存在DOUBLEPULSAR後門程式。如果發現有主機被植入了這一後門程式,它會利用現有的後門程式功能,並使用它來通過WannaCry感染系統。如果系統此前未被感染和植入DOUBLEPULSAR,該惡意軟體將使用ETERNALBLUE嘗試利用SMB漏洞。這就造成了近期在互聯網上觀察到的大規模類似蠕蟲病毒的活動。

組織應確保運行Windows作業系統的設備均安裝了全部補丁,並在部署時遵循了最佳實踐。此外,組織還應確保關閉所有外部可訪問的主機上的SMB埠(139和445)。

請注意,針對這一威脅我們當前還處於調查階段,隨著我們獲知更多資訊,或者攻擊者根據我們的行動作出回應,實際情況將可能發生變化。Talos將繼續積極監控和分析這一情況,以發現新的進展並相應採取行動。因此,我們可能會制定出新的規避辦法,或在稍後調整和/或修改現有的規避辦法。有關最新資訊,請參閱您的Firepower Management Center或Snort.org。




攻擊詳細資訊

我們注意到從東部標準時間早上5點(世界標準時間上午9點)前開始,網路中針對聯網主機的掃描開始急速攀升。



基礎設施分析

Cisco Umbrella研究人員在UTC時間07:24,觀察到來自WannaCry的killswitch功能變數名稱(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com)的第一個請求,此後在短短10小時後,就上升到1,400的峰值水準。

 



該功能變數名稱組成看起來就像是人為輸入而成,大多數字元均位於鍵盤的上排和中間排。

鑒於此功能變數名稱在整個惡意軟體執行中的角色,與其進行的通信可能被歸類為kill switch功能變數名稱: 




以上副程式會嘗試對此功能變數名稱執行HTTP GET操作,如果失敗,它會繼續進行感染操作。然而,如果成功,該副程式將會結束。該功能變數名稱被註冊到一個已知的sinkhole,能夠有效使這一樣本結束其惡意活動。



 

原始註冊資訊有力證明了這一點,其註冊日期為2017年5月12日:




 

惡意軟體分析
初始文件mssecsvc.exe會釋放並執行tasksche.exe檔,然後檢查kill switch功能變數名稱。之後它會創建mssecsvc2.0服務。該服務會使用與初次執行不同的入口點執行mssecsvc.exe文件。第二次執行會檢查被感染電腦的IP位址,並嘗試聯接到相同子網內每個IP位址的TCP 445埠。當惡意軟體成功聯接到一台電腦時,將會建立聯接並傳輸資料。我們認為這一網路流量是一種利用程式載荷。已有廣泛報導指出,這一攻擊正在利用最近被洩露的漏洞。Microsoft已在MS17-010公告中修復了此漏洞。我們當前尚未完全瞭解SMB流量,也未完全掌握這一攻擊會在哪些條件下使用此方法進行傳播。

tasksche.exe檔會檢查硬碟,包括映射了盤符的網路共用資料夾和卸除式存放裝置設備,如“C:/”和“D:/”等。該惡意軟體之後會檢查具有附錄中所列尾碼名的檔,然後使用2048位元RSA加密演算法對其進行加密。在加密檔的過程中,該惡意軟體會生成一個新的檔目錄“Tor/”,在其中釋放tor.exe和九個供tor.exe使用的dll檔。此外,它還會釋放兩個額外的檔:taskdl.exe和taskse.exe。前者會刪除暫存檔案,後者會啟動@wanadecryptor@.exe,在桌面上向最終使用者顯示勒索聲明。@wanadecryptor@.exe並不包含在勒索軟體內,其自身也並非勒索軟體,而僅僅是用來顯示勒索聲明。加密由tasksche.exe在後臺完成。

@wanadecryptor@.exe會執行tor.exe文件。這一新執行的進程將會啟動到Tor節點的網路聯接,讓WannaCry能夠通過Tor網路代理發送其流量,從而保持匿名。

與其他勒索軟體變種類似,該惡意軟體也會刪除受害人電腦上的任意卷影副本,以增加恢復難度。它通過使用WMIC.exe、vssadmin.exe和cmd.exe完成此操作。



WannaCry使用多種方法輔助其執行,它使用attrib.exe來修改+h標記(hide),同時使用icacls.exe來賦予所有用戶完全存取權限(“icacls ./grant Everyone:F /T /C /Q”)。

該惡意軟體被設計成一種模組化服務。我們注意到與該勒索軟體相關的可執行檔由不同的攻擊者編寫,而非開發服務模組的人員編寫。這意味著該惡意軟體的結構可能被用於提供和運行不同的惡意載荷。

加密完成後,該惡意軟體會顯示以下勒索聲明。這一勒索軟體非常有趣的一點是,其勒索螢幕是一個可執行檔,而非圖像、HTA檔或文字檔。

 組織應該意識到,犯罪分子在收到勒索贖金後,並無義務提供解密秘鑰。Talos強烈呼籲所有被攻擊的人員盡可能避免支付贖金,因為支付贖金的舉動無疑就是在直接資助這些惡意活動的壯大。


規避與預防
希望避免被攻擊的組織應遵循以下建議:
.確保所有Windows系統均安裝了全部補丁。至少應確保安裝了Microsoft公告MS17-010。
.根據已知的最佳實踐,具有可通過互聯網公開訪問的SMB(139和445埠)的任意組織應立即阻止入站流量。

此外,我們強烈建議組織考慮阻止到TOR節點的聯接,並阻止網路上的TOR流量。ASA Firepower設備的安全情報源中列出了已知的TOR出口節點。將這些節點加入到黑名單將能夠避免與TOR網路進行出站通信。

除了以上的規避措施外,Talos強烈鼓勵組織採取以下行業標準建議的最佳實踐,以預防此類及其他類似的攻擊活動。
.確保您的組織運行享有支援的作業系統,以便能夠獲取安全更新。
.建立有效的補丁管理辦法,及時為終端及基礎設施內的其他關鍵元件部署安全更新。
.在系統上運行防惡意軟體,確保定期接收惡意軟體簽名更新。
. 實施災難恢復計畫,包括將資料備份到離線保存的設備,並從中進行恢復。攻擊者會經常瞄準備份機制,限制用戶在未支付贖金的情況下恢復其檔的能力。
規避辦法
Snort規則:42329-42332、42340、41978
下方列出了客戶可以檢測並阻止此威脅的其他辦法。



.高級惡意軟體防護(AMP)能夠有效避免執行這些攻擊者使用的惡意軟體。
.CWS或WSA網路掃描能夠阻止訪問惡意網站,並發現這些攻擊中使用的惡意軟體。
.Email Security可以阻止攻擊者在其攻擊活動中發送的惡意電子郵件。
.IPS和NGFW的網路安全防護功能可以提供最新的簽名,用來檢測攻擊者發起的惡意網路活動。
.AMP Threat Grid能夠説明發現惡意軟體二進位檔案,並在所有思科安全產品中建立防護措施。
.Umbrella能夠阻止對與惡意活動相關的功能變數名稱進行DNS解析。