wannacry勒索病毒-台大资讯安全中心.pdfVIP

臺灣大學計資中心網路組 北區學術資訊安全維運中心 資訊安全分析報告 讓人想哭WannaCry 勒索病毒 臺灣大學計資中心網路組 北區學術資訊安全維運中心 摘要 106 年5 月13 日是個看似如常的周末，殊不知網路上已掀起軒然大波，甚麼? 不用開啟惡意檔案或點擊惡意連結也會中獎!一個名為「想哭WannaCry 」的勒索 病毒，正在肆虐全球。 據統計，此事件大約於5 月10 日開始頻繁攻擊 ，而北區ASOC 中心於5 月 9 日偵測到此漏洞被利用的資安事件 ，並向對外攻擊的學校開立資安單，向遭受 攻擊的學校發出告警通知。但勒索病毒的感染與傳播速度非常快速，短短數日內， 包含台灣在內至少有74 個國家遭受攻擊。 5 月15 日周一上班日，統計至少150 國逾20 萬部電腦中毒。根據卡巴斯基 實驗室的資料指出，台灣的想哭災情也進入了前四名，如圖1 所示 。 圖1. (圖片來源轉載自 https://goo.gl/pQQXV3) 1 圖2 為全球各國遭受勒索病毒攻擊的分布情形 。 圖2. (圖片來源截圖自 https://goo.gl/xgXiFZ) 為何此次WannaCry 事件會如此的嚴重呢?傳統的勒索病毒軟體大部分都是 透過點擊惡意連結、郵件附檔或Flashplayer 等較為被動的方式散播，但是 WannaCry 除了以上的方法之外，還會利用Windows SMB 的漏洞進行類似蠕蟲的 主動式傳播行為，導致只要在區域網路中有一台主機中勒索病毒，會主動掃描區 域網路中其他主機是否開啟445 通訊埠 ，然後利用先前遭到外洩的美國NSA 攻 擊程式EternalBlue 進行弱點滲透攻擊 。 2 攻擊手法 駭客利用CVE-2017-0144(SMB 漏洞)攻入目標主機，取得權限後下載木馬程 式，並對區域網路和網際網路的任意主機進行連接埠掃描以擴大感染範圍，散播 加密程式。中勒索病毒的主機也執行加密程式，使用的是RSA 2048 和CBC 模式 AES 加密文件內容 ，加密流程如圖3 說明。 圖3. (圖片參考自 https://goo.gl/vqh19I) 完成文件加密動作之後，惡意程式會產生勒索之說明文檔。圖4 為病毒執行 與散播的手法簡單說明。 圖4. (圖片參考自 https://goo.gl/vqh19I) 3 主機感染病毒之後，首先執行mssecsvc.exe ，隨機對其他主機掃描445 通訊 埠 ，接著建立tasksche.exe 程式，執行檔案加密及檔案刪除。 tasksche.exe 在執行檔案加密時，除了\ProgramData, \Program Files, \Program Files (x86), \Intel, \AppData\Local\Temp, \Local Settings\Temp, \WINDOWS 等需要維 持系統運作的系統檔案資料夾不會被加密之外，其餘的檔案都會被複製一份後加 密成附檔名為 .WNRCY 的檔案類型，被加密的原始檔案也將全部被刪除 。 最後出現勒索的畫面，有各種語言版本如英文、俄文、簡體中文或繁體中文 等等，勒索金額要價美金300 元等值的比特幣，如三天內未支付贖金，金額將翻 倍至600 美金，如下圖5 所示。 圖5. WannaCry 勒索畫面 4 暫時性解決方案 由於勒索病毒的攻擊手法裡，包含了一項反分析機制，用以預防資安人員研 究病毒的攻擊手法，而找出破解的方法。所以勒索病毒程式裡加入了一項判斷機 制，利用向DNS server 查詢某網域名稱是否已