Windows安全#WannaCry勒索蠕虫

本文最后更新于2017年5月17日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

因为前段时间Shadow Broker披露了大量Windows漏洞,甚至爆出黑客组织 Equation Group 对于Windows远程漏洞 MS17-010 的利用工具,该漏洞影响范围之广,堪称杀器。最近(2017年05月12日)就出现了基于MS17-010漏洞的WannaCry蠕虫,感染了大量的计算机,与以往蠕虫不同的是,本次蠕虫的 Payload 是个勒索软件,会加密用户的各种文档文件,而且暂无可靠修复方法,给用户造成巨大损失。

正文:

参考解答:
木马概况:

WannaCry木马利用前阵子泄漏的方程式工具包中的“永恒之蓝(EternalBlue)”漏洞工具,进行网络端口(445)扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染,并作为攻击机再次扫描互联网和局域网其他机器,行成蠕虫感染大范围超快速扩散。

木马母体为mssecsvc.exe,运行后会扫描随机ip的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播,此外会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。

木马加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。

安全建议:

由于之前爆发过多起利用445端口共享漏洞攻击案例,运营商对个人用户关闭了445端口。因校园网是独立的,故无此设置,加上不及时更新补丁,所以在本次事件中导致大量校园网用户中招。所以请参考以下安全建议:

1、关闭445、139等端口,方法详见:http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA

2、下载并更新补丁,及时修复漏洞(目前微软已经紧急发布XP、Win8、Windows server2003等系统补丁,已经支持所有主流系统,请立即更新)。

XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系统访问: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、安装杀毒软件并开启主动防御进行拦截查杀;

4、支付比特币并不能解密文件,不要支付比特币,保留被加密的文件,等待解密


1)腾讯电脑管家的《WannaCry蠕虫详细分析》: http://www.freebuf.com/articles/system/134578.html

2)瑞星的《WannaCry分析报告》: http://www.freebuf.com/articles/paper/134637.html

3)360 的《WanaCrypt0r勒索蠕虫完全分析报告》: http://bobao.360.cn/learning/detail/3853.html

4)Endgage 的《WCry/WanaCry Ransomware Technical Analysis》: https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

5)PeerLyst 的 《ransomware worm IOC’s, Tor C2 and technical analysis + SIEM rules》: https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi

此外,微软破例为不再支持的 Windows XP 提供了补丁:



# Freebuf ( http://www.freebuf.com/?s=WannaCry )
全球安全厂商针对“Wannacry勒索蠕虫”响应与处置方案汇总(总结包括微软、思科、CNVD、CNNVD、360、安天、腾讯、安恒、瑞星、斗象科技、微步在线等安全企业和组织给出针对WannaCry的分析和处置方案)
http://www.freebuf.com/news/134771.html
关于勒索病毒WannaCry的8个真相(火绒安全)
http://www.freebuf.com/articles/system/134728.html
Wannacry蠕虫勒索软件处置流程及方案(漏洞盒子)
https://www.vulbox.com/knowledge/detail/?id=10
WannaCry勒索病毒数据恢复指引(腾讯云安全)(重点看评论)
http://www.freebuf.com/articles/database/134673.html
WannaCry勒索病毒分析报告(瑞星)
http://www.freebuf.com/articles/paper/134637.html

参考链接:

# Microsoft官方
Microsoft 安全公告 MS17-010 – 严重
https://technet.microsoft.com/zh-cn/library/security/MS17-010
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
site:blogs.technet.microsoft.com wannacry
https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

# Cisco
http://blog.talosintelligence.com/2017/05/wannacry.html

# 安天实验室
http://www.antiy.com/response.html
http://www.antiy.com/response/wannacry.html

# 绿盟
WannaCry勒索事件处置手册
http://blog.nsfocus.net/wannacry-blackmail-event-disposal-handbook/
wannacry勒索病毒 绿盟威胁情报中心NTI公开分析报告
http://blog.nsfocus.net/wannacry-extortion-virus-nti-public-analysis-report/

# 知乎
WanaCrypt0r 2.0(计算机病毒)
https://www.zhihu.com/topic/20081698/hot

更多参考链接:

NSA方程式有更多黑客工具下载了!信息量很大,连中国运营商都被入侵过?
http://www.freebuf.com/news/131531.html
https://github.com/x0rz/EQGRP
https://hackmd.io/s/r1gLMUUpx
https://mp.weixin.qq.com/s/-vCH5_AN5gVtOo1k9FR7Kw
https://github.com/misterch0c/shadowbroker

windows系统打MS17-010补丁
http://thief.one/2017/05/15/1/

谈谈WannaCry病毒观后感
http://www.yunweipai.com/archives/17460.html

[技术原创] WanaCrypt0r勒索病毒:20款杀软主防测试
http://www.91ri.org/17072.html

WannaCryptor 勒索蠕虫样本深度技术分析_阿尔法实验室
http://blog.topsec.com.cn/?p=2230

WannaCry引发的企业安全建设思考
https://www.sec-un.org/wannacry%E5%BC%95%E5%8F%91%E7%9A%84%E4%BC%81%E4%B8%9A%E5%AE%89%E5%85%A8%E5%BB%BA%E8%AE%BE%E6%80%9D%E8%80%83/

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3289.html

《Windows安全#WannaCry勒索蠕虫》上有19条评论

  1. 除了永恒之蓝,美国 NSA 方程式组织中,还有哪些大杀器是需要警惕的?
    https://www.zhihu.com/question/59783043

    利用NSA的MS17-010漏洞利用工具实现Win 7和Win Server 2008系统入侵
    http://www.freebuf.com/articles/system/132813.html

    ShadowBroker释放的NSA工具部分(windows)fb.py复现和中招检查方法
    http://www.freebuf.com/sectool/132076.html

    利用Pentestbox打造MS17-010移动”杀器”
    http://www.freebuf.com/articles/system/132274.html

    普通人的应对策略:
    1.平时多备份。
    2.少用盗版系统/软件。
    3.及时打补丁。
    4.别再用老旧系统/软件。

  2. 【技术分享】360天眼:WannaCry(想哭勒索蠕虫)技术分析
    http://bobao.360.cn/learning/detail/3860.html
    【i春秋&安全客】WannaCry勒索病毒全解读,权威修复指南视频学习!
    http://bobao.360.cn/news/detail/4167.html

    【安全预警】一波未平一波又起!影子经纪人宣称每月将定期出售NSA黑客工具
    http://bobao.360.cn/news/detail/4169.html
    https://steemit.com/shadowbrokers/@theshadowbrokers/oh-lordy-comey-wanna-cry-edition

  3. Windows 漏洞价值分类排名,来自yuange
    http://www.4byte.cn/learning/44312.html

    1、底层基本api或者结构漏洞。
    2、rpc漏洞。
    3、iis远程漏洞。
    4、smb漏洞。
    5、exchange、3389 、dns、wins等远程服务漏洞。其实3、4都是这个范围,但因为其3、4针对的两个服务的地位,其3、4的价值得到提升。
    6、ie、jpg漏洞。
    7、word、pdf等文件格式漏洞。6也属于这个范围,因为ie的应用广泛和钓鱼的流行,使得6排名得到提升,甚至高于5的部分漏洞价值。6、7也归属于远程,但因为需要用户参与,所以影响其排名,分类排在5后面。
    8、本地提权漏洞。这个又可以分为两大类,一类是可以匿名的算老8,一类是修要登录的算老9。
    10、其它的一些信息泄露、拒绝服务等漏洞。

  4. Extracting a 19 Year Old Code Execution from WinRAR
    https://research.checkpoint.com/extracting-code-execution-from-winrar/

    【漏洞预警】WinRAR代码执行漏洞威胁预警
    https://mp.weixin.qq.com/s/_JoZQHW0hqvPdgizv_XdZQ

    近日,有安全研究人员使用WinAFL fuzzer发现WinRAR中存在逻辑漏洞,利用该漏洞攻击者可完全控制受害者计算机。攻击者只需利用此漏洞构造恶意的压缩文件,并以钓鱼邮件、网盘、论坛等方式诱导受害者下载恶意构造文件,当受害者使用WinRAR解压该恶意文件时,即完成整个攻击过程。

    该漏洞存在于WinRAR使用的ACE库中,在WinRAR解压缩.ACE文件时,由于没有对文件名进行充分过滤,导致其可实现目录穿越,将恶意文件写入任意目录,为攻击者增加后门植入方式。该漏洞在WinRAR中已存在超过19年,目前WinRAR已经放弃对该易受攻击格式(.ACE)的维护支持。

    受影响软件:
    WinRAR < 5.70 Beta 1
    不受影响版本:
    WinRAR 5.70 Beta 1

    一场由WinRAR全球漏洞危机引发的思考:压缩软件该何去何从?
    https://mp.weixin.qq.com/s/_lECsyxJbIfyoBlPeVRYOQ

  5. WinRAR 被曝存在遗留19年的漏洞,影响全球多达5亿用户
    https://mp.weixin.qq.com/s/-LOXxAaSFV7fX4sDGIQQ8A

    实战!打造WinRAR代码执行漏洞的种植EXP
    https://mp.weixin.qq.com/s/j8G9Tjq2NPg0CFhXl_sQGQ

    WinRAR漏洞复现过程
    https://fuping.site/2019/02/21/WinRAR-Extracting-Code-Execution-Validate/

    全网筛查 WinRAR 代码执行漏洞 (CVE-2018-20250)
    https://xlab.tencent.com/cn/2019/02/22/investigating-winrar-code-execution-vulnerability-cve-2018-20250-at-internet-scale/

    0x03 影响范围
    unacev2.dll 作为一个第三方共享库,也被其它一些支持 ACE 文件格式解压的软件所使用,这些软件也同样受到该漏洞的影响。
    利用玄武实验室自研的“阿图因”系统,我们对已收录的全网 PC 软件进行了扫描,统计了 unacev2.dll 的使用情况,其版本分布情况如下图所示:xxx。

    通过“阿图因”系统,我们还能够对使用了该共享库的软件进行反向溯源,目前扫描到了受影响的有 24 款国外软件,15 款国产软件。
    多数受影响的软件都可以被归类为工具软件。其中至少有9款压缩软件,以及8款文件浏览器。还有其它许多软件将 unacev2.dll 作为 WinRAR 的一部分放在了自己的软件包中,作为解压模块使用。

    0x04 修复建议
    目前,WinRAR 已经在 5.70 Beta 1 版本中修复了这个问题。由于开发 ACE 解压模块的公司已于 2017 年 8 月关闭,而且 unacev2.dll 共享库并没有公开源码,导致漏洞无法被正确修复。因此 WinRAR 的修复方案是直接将 unacev2.dll 模块移除,并决定不再支持 ACE 文件格式的解压。

    另外,360压缩在最新版本中也已经修复了这个问题,修复方案同样是移除 unacev2.dll 模块。
    对于其它受影响软件的用户,我们建议您关注相关软件的修复更新情况,及时更新版本。在软件开发商主动修复之前,可以通过手动删除安装目录下的 unacev2.dll 模块来应急修复。

  6. antispy: Windows下手工杀毒辅助工具开源
    https://github.com/mohuihui/antispy

    AntiSpy is a free but powerful anti virus and rootkits toolkit.It offers you the ability with the highest privileges that can detect,analyze and restore various kernel modifications and hooks.With its assistance,you can easily spot and neutralize malwares hidden from normal detectors.

发表评论

电子邮件地址不会被公开。 必填项已用*标注