勒索病毒 「永恆之藍」wannacry việt nam

[wing]

資安業者 SonicWALL 提醒，本次勒索病毒 WannaCry 蔓延全球，是有駭客在攻擊工具永恆之藍（EternalBlue）的基礎上所開發的蠕蟲病毒，因此預先抵禦永恆之藍，才是防堵的根本之道。近日一種名為 WannaCry 的電腦勒索病毒正在全球蔓延，包含 150 個國家受到病毒感染，台灣也名列受攻擊嚴重區域。SonicWALL 表示，「永恆之藍」是美國國家安全局（NSA）旗下的駭客組織 Equation Group 開發的網路攻擊工具，它掃描並利用運行在 TCP 445 連接埠上的 Windows SMB（Server Message Block，伺服器訊息區）檔共用協議的漏洞，上傳勒索軟體等惡意程式到 Windows 系統，加密使用者的檔案並勒索贖金。NSA Eternalblue SMB 漏洞分析

环境

EXPLOIT:
Eternalblue-2.2.0.exeTARGET:
win7 sp1 32bits srv.sys 6.1.7601.17514 srvnet.sys 6.1.7601.17514PATCH:
MS17-010

漏洞原理

srv.sys在处理SrvOs2FeaListSizeToNt的时候逻辑不正确导致越界拷贝 .駭客組織 Shadow Broker 入侵 Equation Group 網路，竊取大量網路攻擊工具，並把它放到網路上拍賣。為了證明他們拍賣的駭客工具有真實性和有效性，Shadow Broker 在網路公布了他們竊取來的一部分駭客工具，包括永恆之藍。SonicWALL 提醒，本次全球爆發的 WannaCry 勒索軟體攻擊事件，是有駭客在永恆之藍的基礎上所開發的蠕蟲病毒；它可以自我複製傳播，且該蠕蟲病毒掃描網路上存在 SMB 漏洞的 Windows 機器，上傳勒索軟體到該 Windows 系統，鎖定使用者的資料並勒索使用者的金錢，是典型的蠕蟲和勒索軟體結合體，可以稱之為蠕蟲勒索病毒。駭客可利用永恆之藍工具和 Windows SMB 漏洞上傳任何惡意程式，而且不排除勒索軟體可透過電子郵件傳播。SonicWALL 已經發表數個勒索軟體病毒的簽名，阻斷透過電子郵件或利用 SMB 漏洞上傳的勒索軟體。SonicWALL 的安全防禦團隊，在 4 月 Shadow Broker 把永恆之藍駭客工具發表到網路上的第一時間，就已進行快速分析和診斷，並於 4 月 20 日更新多個 IPS（入侵防禦系統）簽名，有效阻斷駭客利用永恆之藍工具及在其基礎上開發的蠕蟲病毒針對 Windows SMB 漏洞的入侵行為。資安廠商 Forcepoint 北亞區技術總監莊添發指出，對於社交工程郵件的相關攻擊，員工安全意識的提升，以及郵件與上網安全的聯防，是最關鍵的防範措施；多年不見的自我蔓延模式與勒索軟體的結合，也同時檢驗企業內部網路的防禦機制。莊添發說，各機構的安全風險大多源於其單個用戶的無意操作，比如點擊了惡意連結，或者打開了郵件裡的一個惡意檔案；此外，這個惡意軟體攻擊的 MS17-010 漏洞已在近 2 個月前提供了修補程式，各機構的安全能力的差異，就在於是否重視安全問題、是否落實與及時的修補漏洞更新作業系統。Forcepoint 安全實驗室提出三大自保防護措施如下，期望全球機構都能成功防堵所有的勒索軟體或變種勒索軟體。第一，確保組織機構內所有 Windows 機器上安裝 MS7-010 安全更新。第二，確保安裝 Web 網頁和 Email 電子郵件安全解決方案，它們可以在郵件中幫助用戶阻止惡意郵件，在 Web 網頁使用即時安全檢測機制，阻斷惡意程式下載並針對夾帶於郵件中的惡意網址進行分析防護。第三，遵從微軟發布的指導，在所有 Windows 系統上禁用伺服器訊息區版本 1（SMBv1）