知道創(chuàng)宇404實驗室跟進解讀NSA泄密勒索攻擊事件
時間:2023-01-16 15:16:01 | 來源:電子商務
時間:2023-01-16 15:16:01 來源:電子商務
2017年4月14日Shadow Brokers公布的NSA使用的針對Windows系統(tǒng)的多個漏洞及攻擊工具包,使用這些漏洞工具包攻擊成功后會自動植入代號為“Doublepulsar”后門���,在NSA這次被泄露的文件里有個代號為“Eternalblue ”(永恒之藍)是本次爆發(fā)的勒索病毒使用的漏洞 �����,針對這些漏洞微軟明確在2017年3月14日就已經(jīng)發(fā)布了對應的MS17-010安全公告及相關補丁���,公告顯示NSA泄露的漏洞幾乎影響到所有Windows版本�����。
隨后知道創(chuàng)宇404安全實驗室針對此次NSA泄密的Windows系統(tǒng)的多個漏洞及攻擊工具包進行了分析跟進 …
分析回溯
▲第一輪探測MS17-010漏洞各國排名
2017年4月24日-26日�,知道創(chuàng)宇404安全實驗室通過ZoomEye網(wǎng)絡空間搜索引擎針對MS17-010及NSA漏洞利用工具植入的“Doublepulsar”后門進行了全球第一輪探測。
▲第二輪探測的前后對比情況
2017年5月02日����,知道創(chuàng)宇404安全實驗室通過ZoomEye網(wǎng)絡空間搜索引擎針對MS17-010及NSA漏洞利用工具植入的“Doublepulsar”后門進行了全球第二輪探測。
▲第三輪探測的前后對比情況
2017年5月07日����,知道創(chuàng)宇404安全實驗室通過ZoomEye網(wǎng)絡空間搜索引擎針對MS17-010及NSA漏洞利用工具植入的“Doublepulsar”后門進行了全球第三輪探測。
由此知道創(chuàng)宇404安全實驗室歷時一個多月的跟進分析最后數(shù)據(jù)整理為ZoomEye專題頁面:上線并發(fā)布了詳細分析報告�����。
2017年5月12日���,利用“Eternalblue ”(永恒之藍)漏洞進行攻擊的“WannaCry(WanaCrypt0r)”等蠕蟲病毒勒索事件全球全面爆發(fā)�����。知道創(chuàng)宇404安全實驗室全面啟動蠕蟲病毒事件應急跟進…
ZoomEye全球公網(wǎng)數(shù)據(jù)報告相關解讀
1�、存在MS17-010相關漏洞最多前三的國家依此為:美國����、俄羅斯��、中國��。
其中中國各省影響依次為:臺灣�����、香港���、山東、北京����、甘肅��、江蘇��。
(注:臺灣�、香港的影響數(shù)量遠大于大陸其他省份)
2、被NSA泄漏的工具攻擊最快�、最多的國家為美國,其次是中國�����。
其中中國各省影響依次為:臺灣、香港�、北京、廣東�����、山東����。
(注臺灣、香港的影響數(shù)量遠大于大陸其他省份)
3��、根據(jù)三輪探測數(shù)據(jù)顯示相關應急速度最快最好為美國���。
4�、中國外網(wǎng)暴露影響最大主要集中在臺灣和香港����,而中國大陸影響相對較小,這跟歷史上骨干網(wǎng)isp攔截相關端口有關��。
▲被植入“Doublepulsar”后門主機與操作系統(tǒng)關系圖
5�、從被植入的NSA后門的主機操作系統(tǒng)統(tǒng)計來看Windows 2008和Windows 7是主要被感染的系統(tǒng),值得注意的是其中還有不少是用是一個面向小型企業(yè)的操作系統(tǒng)Windows Small Business Server 2011、主要用于嵌入式設備Windows Embedded Standard��。
"WannaCry”等蠕蟲病毒相關解讀
此次爆發(fā)的病毒結合了暗網(wǎng)(Tor)�����、最新Windows遠程攻擊漏洞���、勒索軟件����、比特幣支付這四大特性��。
1�、這次病毒完美利用暗網(wǎng)及比特幣監(jiān)管空白,追蹤溯源的難度非常大�,導致病毒作者可以肆無忌憚得釋放傳播蠕蟲病毒����。
2、勒索軟件的結合打破了內網(wǎng)�����、隔離網(wǎng)絡的安全神話���。
勒索軟件機制通過主動加密����、過期刪除等破壞手段要挾中招用戶主動聯(lián)系病毒作者支付比特幣,從而導致了最新Windows遠程攻擊漏洞的攻擊面擴大�,直接威脅到內網(wǎng)及隔離網(wǎng)絡里的主機。雖然從 ZoomEye 跟蹤的公網(wǎng)數(shù)據(jù)結果顯示漏洞影響逐步減少��,另外中國大陸 isp 機制導致外網(wǎng)影響面相對較小���,但是更大的內網(wǎng)及隔離網(wǎng)絡缺少對應的安全機制����,甚至缺少安全補丁更新機制��,使得本次蠕蟲病毒攻擊內網(wǎng)���、隔離網(wǎng)絡的事件得以大規(guī)模爆發(fā)����。
3�����、病毒開始入侵內網(wǎng)、隔離網(wǎng)絡可能的路徑?
那么這次爆發(fā)病毒是怎么傳播到內部�、隔離網(wǎng)絡的呢?可能的方式主要有:
● 外網(wǎng)機器中招后傳播到內網(wǎng);
● 郵件釣魚、水坑掛馬等攻擊方式傳播到內網(wǎng);
● 其他類似于分析樣本等未注意網(wǎng)絡隔離等奇葩的方式����。
4、勒索病毒加密的文件是否被解密或恢復?
目前分析結果表明勒索病毒加密文件使用了兩套密鑰����,通過本地密鑰加密的文件可實現(xiàn)解密,但是通過網(wǎng)絡密鑰加密文件目前還沒有解密方法���。另外研究表明可以通過傳統(tǒng)數(shù)據(jù)恢復軟件等手段針對病毒刪除的文件進行部分恢復����。
5��、通過解析“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea”域名的方法實現(xiàn)“免疫”的方法或者工具是否有效果?
通過分析現(xiàn)有公布worm病毒樣本發(fā)現(xiàn)的����,病毒文件啟動會檢測iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com這個域名的訪問����,如果能訪問就會無害退出程序�,所以基于這個邏輯很多公司推出了對應的免疫程序和方法�。所以針對目前感染的病毒樣本此法還是有用的,但是這對病毒變種或者利用MS17-010實現(xiàn)的新病毒程序就無法實現(xiàn)“免疫”了��,所以目前最好的方法是使用Windows官方補丁進行修復��,值得一提的是微軟已對停止安全更新的xp和2003操作系統(tǒng)����,但同樣緊急發(fā)布了漏洞補丁,必要時候先禁用445等相關端口���。
6��、病毒怎么會感染到鐵路��、醫(yī)院��、銀行��、加油站�、公路管理等系統(tǒng)或設備?
隔離網(wǎng)絡或內網(wǎng)因素上述已經(jīng)提過�����,這里從ZoomEye報告里關于“被植入的NSA后門的主機操作系統(tǒng)統(tǒng)計”數(shù)據(jù)來看也可以得到一些另外的結論,這種蠕蟲病毒使用的漏洞影響面幾乎覆蓋了所以我的Windows操作系統(tǒng)版本�����,其中有不少用于工業(yè)控制領域的嵌入式設備的系統(tǒng) 如Windows Embedded Standard��。
7�、病毒傳播方式結合 APT(GPT) 的攻擊方式值得研究和深思。
本次“WannaCry”等勒索蠕蟲病毒暴力破壞性的利用�,幾乎在一天之內就影響全球各個行業(yè)、多個國家政府職能相關服務���,也直接影響到了人們的日常生活���。如果結合 APT(GPT) 的隱蔽性、目的性���,攻擊可能導致更加可怕的影響�����。
在線咨詢
