WannaCry勒索病毒事件分析


5月12日晚开始,WannaCry勒索病毒席卷全球。目前至少有150个国家受到网络攻击,受入侵电脑超过20万,并且影响还在持续中,用户依然需要加强防护措施。

事件概览

WannaCry勒索病毒事件最初在英国曝光,12日晚上10点,英国时间大约下午3点半,英国全国共16家医院同时遭到网络攻击。所有被攻击的电脑都被锁定桌面。“你的电脑已经被锁,文件已经全部被加密,除非你支付价值300美元的比特币,否则你的文件将会被永久删除”。

 

 

很快,在英国地区遭受这些攻击的同时,全球多地发出告警,一场针对全球的网络攻击,瞬时展开。

我国多个行业网络同样受到WannaCry勒索病毒攻击,其中教育行业中的校园网受损尤为严重。

目前,全球遭遇攻击的国家超过150个,幸免的国家,要么没有电脑,要么没有网络。

 

 

 

永恒之蓝漏洞

通过分析发现,WannaCry 勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010。

虽然微软已在今年3月份发布了该漏洞的补丁。但是依然有大量用户未升级补丁,导致电脑或服务器中招。

漏洞来源

今年4月,方程式组织泄露addjob、swift、windows三个文件夹的数据,其中windows目录下是一些针对Windows系统的一些攻击工具和漏洞利用程序。本次“永恒之蓝”攻击程序就是在此文件夹中的一个攻击程序。

“永恒之蓝”攻击程序利用的是Windows SMB远程提权漏洞,可以攻击开放了445 端口的 Windows 系统并提升至系统权限。

漏洞影响

深信服防火墙早在一个月前就已经发布针对微软SMB漏洞的攻击防护。从公网上拦截的攻击来看,从5月12号晚上开始,不到一天的时间,发现并拦截针对MS17-010 SMB漏洞的攻击多达4590次,其中受灾最严重的地区是杭州市,被攻击次数多达1612次。具体被攻击地区分布如下图所示:

 

 

在4590次针对MS17-010漏洞的攻击中,受攻击最多的行业是教育行业,受攻击次数3896次。

 

 

针对攻击情况,深信服千里目安全实验室对攻击源头进行追溯,发现有987次攻击IP源来自Walnut(美国沃尔纳特),其次来自Matawan(美国马特万)的攻击有869次。

 

 

 

提前感知漏洞很重要

实际上,Windows SMB远程命令执行漏洞(MS17-010漏洞)发布于4月15日,16日,深信服互联网风险监测中心对MS17-010漏洞数据进行了分析,发现全国8647站点中161个网站存在安全风险。并针对161个网站的修复情况,通过每周(7天一个周期)统计分析得出结论如下:

 

MS17-010漏洞修复情况

统计显示,使用深信服安全服务的客户安全能力明显得到提升,网站漏洞的修复情况明显得到改善。数据中可以看到,隔周修复漏洞的站点超过100个,隔月修复率98.1%,截止到5月15日,没有接到使用互联网风险监测服务的用户遭到勒索的反馈。

新型“蠕虫式”勒索软件 WannaCry 通过MS17-010漏洞(1day/Nday)传播,时间上来看从漏洞爆发到WannaCry肆虐,有近一个月的时间,从统计结果可以看到,如果用户能够提前感知MS17-010漏洞,并对漏洞进行修复,是可以提前解决本次WannaCry勒索带来的风险的。

重视安全,防范风险

首先,本次攻击是利用上个月爆发的漏洞来进行攻击,在爆发时微软已提供完整的补丁供用户升级防护,各大安全厂商也纷纷发布解决方案。其次,勒索病毒并不陌生,这几年也频繁出现,然而这次勒索病毒却联合微软SMB漏洞在全球网络制造出核弹级的网络攻击风波。究其原因,是大家对漏洞认知较少,也不清楚是否需要防护,该如何去防护。

由于没有相关监测产品对其业务进行7*24小时的安全值守,导致很多用户对安全漏洞感知不足,使得攻击者通过漏洞对其业务进行勒索。

希望未来能够帮助越来越多的用户加强安全预警的能力,提前将风险扼杀在“萌芽期”,避免安全风险带来的损失。