思科Talos深度解析WannaCry勒索软件.PDFVIP

博客 思科Talos 深度解析“WannaCry勒索软件 博客作者：Martin Lee、Warren Mercer、Paul Rascagneres 和Craig Williams 要点综述 据报道称，全球多家组织遭到了一次严重的勒索软件攻击，西班牙的 Telefonica 、英国的 国民保健署、以及美国的 FedEx 等组织纷纷中招。发起这一攻击的恶意软件是一种名为 “WannaCry”的勒索软件变种。 该恶意软件会扫描电脑上的TCP 445 端口 （Server Message Block/SMB），以类似于蠕 虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎 金。 此外，Talos 还注意到WannaCry 样本使用了 DOUBLEPULSAR，这是一个由来已久的后 门程序，通常被用于在以前被感染的系统上访问和执行代码。这一后门程序允许在系统上 安装和激活恶意软件等其他软件。它通常在恶意软件成功利用SMB 漏洞后被植入，后者已 在Microsoft 安全公告MS17-010 中被修复。在Shadow Brokers 近期向公众开放的工具包 中，一种攻击性漏洞利用框架可利用此后门程序。自这一框架被开放以来，安全行业以及 众多地下黑客论坛已对其进行了广泛的分析和研究。 WannaCry 似乎并不仅仅是利用与这一攻击框架相关的 ETERNALBLUE （永恒之蓝）模 块，它还会扫描可访问的服务器，检测是否存在DOUBLEPULSAR 后门程序。如果发现有 主机被植入了这一后门程序，它会利用现有的后门程序功能，并使用它来通过 WannaCry 感染系统。如果系统此前未被感染和植入 DOUBLEPULSAR ，该恶意软件将使用 ETERNALBLUE 尝试利用 SMB 漏洞。这就造成了近期在互联网上观察到的大规模类似蠕 虫病毒的活动。 组织应确保运行 Windows 操作系统的设备均安装了全部补丁，并在部署时遵循了最佳实 践。此外，组织还应确保关闭所有外部可访问的主机上的SMB 端口（139 和445 ）。 请注意，针对这一威胁我们当前还处于调查阶段，随着我们获知更多信息，或者攻击者根 据我们的行动作出响应，实际情况将可能发生变化。Talos 将继续积极监控和分析这一情 况，以发现新的进展并相应采取行动。因此，我们可能会制定出新的规避办法，或在稍后 调整和/ 或修改现有的规避办法。有关最新信息，请参阅您的 Firepower Management Center 或S。 攻击详细信息 我们注意到从东部标准时间早上 5 点（世界标准时间上午9 点）前开始，网络中针对联网 主机的扫描开始急速攀升。 基础设施分析 Cisco Umbrella 研究人员在 UTC 时间 07:24，观察到来自 WannaCry 的 killswitch 域名 （iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com）的第一个请求，此后在短短 10 小时 后，就上升到1,400 的峰值水平。 该域名组成看起来就像是人为输入而成，大多数字符均位于键盘的上排和中间排。 鉴于此域名在整个恶意软件执行中的角色，与其进行的通信可能被归类为kill switch 域名： 以上子程序会尝试对此域名执行HTTP GET 操作，如果失败，它会继续进行感染操作。然 而，如果成功，该子程序将会结束。该域名被注册到一个已知的 sinkhole ，能够有效使这 一样本结束其恶意活动。 原始注册信息有力证明了这一点，其注册日期为2017 年5 月12 日： 恶意软件分析 初始文件mssecsvc.exe 会释放并执行tasksche.exe 文件，然后检查kill switch 域名。之后 它会创建 mssecsvc2.0 服务。该服务会使用与初次执行不同的入口点执行 mssecsvc.exe 文件。第二次执行会检查被感染电脑的 IP 地址，并尝试联接到相同子网内每个 IP 地址的 TCP 445 端口。当恶意软件成功联接到一台电脑时，将会建立联接并传输数据。我们认为 这一网络流量是一种利用程序载荷。已有广泛报道指出，这一攻击正在利用最近被泄露的 漏洞。Microsoft 已在MS17-010 公告中修复了此漏洞。我们当前尚未完全了解SMB 流量， 也未完全掌握这一攻击会在哪些条件下使用此方法进行传播。 tasksche.exe 文件会检查硬盘，包括映射了盘符的网络共享文件夹和可移动存储设备，如 “C:/”和“D:/”等。该恶意软件之后会检查具有附录中所列后缀名的文件