Page 1 of 1

勒索病毒 「永恆之藍」wannacry việt nam

PostPosted: October 31, 2017
by wing
資安業者 SonicWALL 提醒,本次勒索病毒 WannaCry 蔓延全球,是有駭客在攻擊工具永恆之藍(EternalBlue)的基礎上所開發的蠕蟲病毒,因此預先抵禦永恆之藍,才是防堵的根本之道。近日一種名為 WannaCry 的電腦勒索病毒正在全球蔓延,包含 150 個國家受到病毒感染,台灣也名列受攻擊嚴重區域。SonicWALL 表示,「永恆之藍」是美國國家安全局(NSA)旗下的駭客組織 Equation Group 開發的網路攻擊工具,它掃描並利用運行在 TCP 445 連接埠上的 Windows SMB(Server Message Block,伺服器訊息區)檔共用協議的漏洞,上傳勒索軟體等惡意程式到 Windows 系統,加密使用者的檔案並勒索贖金。NSA Eternalblue SMB 漏洞分析

环境

EXPLOIT:
Eternalblue-2.2.0.exe
TARGET:
win7 sp1 32bits srv.sys 6.1.7601.17514 srvnet.sys 6.1.7601.17514
PATCH:
MS17-010

漏洞原理

srv.sys在处理SrvOs2FeaListSizeToNt的时候逻辑不正确导致越界拷贝 .駭客組織 Shadow Broker 入侵 Equation Group 網路,竊取大量網路攻擊工具,並把它放到網路上拍賣。為了證明他們拍賣的駭客工具有真實性和有效性,Shadow Broker 在網路公布了他們竊取來的一部分駭客工具,包括永恆之藍。SonicWALL 提醒,本次全球爆發的 WannaCry 勒索軟體攻擊事件,是有駭客在永恆之藍的基礎上所開發的蠕蟲病毒;它可以自我複製傳播,且該蠕蟲病毒掃描網路上存在 SMB 漏洞的 Windows 機器,上傳勒索軟體到該 Windows 系統,鎖定使用者的資料並勒索使用者的金錢,是典型的蠕蟲和勒索軟體結合體,可以稱之為蠕蟲勒索病毒。駭客可利用永恆之藍工具和 Windows SMB 漏洞上傳任何惡意程式,而且不排除勒索軟體可透過電子郵件傳播。SonicWALL 已經發表數個勒索軟體病毒的簽名,阻斷透過電子郵件或利用 SMB 漏洞上傳的勒索軟體。SonicWALL 的安全防禦團隊,在 4 月 Shadow Broker 把永恆之藍駭客工具發表到網路上的第一時間,就已進行快速分析和診斷,並於 4 月 20 日更新多個 IPS(入侵防禦系統)簽名,有效阻斷駭客利用永恆之藍工具及在其基礎上開發的蠕蟲病毒針對 Windows SMB 漏洞的入侵行為。資安廠商 Forcepoint 北亞區技術總監莊添發指出,對於社交工程郵件的相關攻擊,員工安全意識的提升,以及郵件與上網安全的聯防,是最關鍵的防範措施;多年不見的自我蔓延模式與勒索軟體的結合,也同時檢驗企業內部網路的防禦機制。莊添發說,各機構的安全風險大多源於其單個用戶的無意操作,比如點擊了惡意連結,或者打開了郵件裡的一個惡意檔案;此外,這個惡意軟體攻擊的 MS17-010 漏洞已在近 2 個月前提供了修補程式,各機構的安全能力的差異,就在於是否重視安全問題、是否落實與及時的修補漏洞更新作業系統。Forcepoint 安全實驗室提出三大自保防護措施如下,期望全球機構都能成功防堵所有的勒索軟體或變種勒索軟體。第一,確保組織機構內所有 Windows 機器上安裝 MS7-010 安全更新。第二,確保安裝 Web 網頁和 Email 電子郵件安全解決方案,它們可以在郵件中幫助用戶阻止惡意郵件,在 Web 網頁使用即時安全檢測機制,阻斷惡意程式下載並針對夾帶於郵件中的惡意網址進行分析防護。第三,遵從微軟發布的指導,在所有 Windows 系統上禁用伺服器訊息區版本 1(SMBv1)