• 
    联系我们

    广东联迪信息科技有限公司

    服务热线

    网络集成:400⑻99-0899

    软件支持:400⑻877⑼91

    咨询热线

    公司前台:0756⑵119588

    公司传真:0756⑵119578

    售前咨询:0756⑵133055

    公司地址

    珠海市香洲区兴华路212号能源大厦2楼

    社会新闻
    当前位置 > 首页 > 社会新闻

    CNNVD公布WannaCry勒索软件攻击事件分析报告

    种别:社会新闻发布人:联迪发布时间:2017-05⑴7

    5月16日消息 国家信息安全漏洞库(CNNVD)是中国信息安全测评中心为切实实行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务。

    今天,CNNVD公布了WannaCry勒索软件攻击事件的分析报告,报告分析了网络攻击事件背景、“WannaCry”勒索软件技术特点及危害、全球遭受网络攻击整体情况和防范手段。

    以下为报告原文:

    北京时间2017年5月12日,1款名为“WannaCry”(也称WannaCrpt、WannaCrpt0r、Wcrypt、WCRY)的勒索软件在全球范围内爆发,造成极大影响。针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况以下:

    1、网络攻击事件背景

    此次爆发的“WannaCry”勒索软件主要鉴戒了针对微软Windows系统漏洞的利用工具“永久之蓝”(EternalBlue)进行传播分散。2017年4月14日,黑客组织Shadow Brokers(影子经纪人)公布了黑客组织Equation Group(方程式组织)的部份泄漏文件,文件触及多个Windows操作系漏洞的远程命令履行工具,其中即包括“WannaCry”勒索软件攻击事件中所触及的“永久之蓝”利用工具。“WannaCry”勒索软件借助“永久之蓝”漏洞利用工具,利用Windows操作系统在445端口的安全漏洞(CNNVD⑵01703⑺21 ~ CNNVD⑵01703⑺26),潜入电脑对多种文件类型加密,并弹出勒索框,向用户索要赎金(以比特币支付)用于解密。

    2、“WannaCry”勒索软件技术特点及危害

    (1)攻击特性

    爆发突然。短短1天内,在几近毫无任何预兆的情况下,百余个国家和地区遭受攻击并显现蔓延态势。行动卑劣。勒索蠕虫1旦成功入侵,将加密系统内全部文档,并通过破坏硬盘快照的方式增加系统恢复难度,不交付赎金(单机解密赎金300美元至600美元,1般通过比特币支付)没法解密。自动传播。可利用Windows平台所有版本(winXP、Vista、Win7、Win8、Win2003、Win2008、Win10等)的漏洞进行自动传播,未打补钉的机器极易感染并在内外网快速传播。难以解密。勒索软件使用AES128加密文件,使用RSA2048公钥加密AES密钥。据目前情况看,基本没法通过计算或碰撞的方式进行解密,国内有企业提出通过想法恢复被删原文件方式找回原始未加密文件。通讯匿名。勒索软件进行攻击后,会自动释放Tor网络组件,用于解密程序的网络通讯,赎金使用比特币支付,使勒索进程难以追踪溯源。时间掐准。此次攻击产生正值周末,据分析在我国爆发时间应为周5下午3点左右,恰逢国内周末时间。攻击意外中断。勒索软件中预留了终止机制,即访问1个超长域名成功时,攻击传播就会停止。美国洛杉矶要挟情报公司1名员工注册了该域名开启了停止机制,域名启用后每秒访问IP过千。

    (2)现实危害

    文档损失。遭受攻击的各类文档均被加密,没法访问使用。系统停服。系统会不断弹出交付赎金的窗口,没法正常使用。解密存疑。目前还没有对交付赎金进行解密操作的分析,不肯定是否是能够正常解密。

    (3)潜伏风险

    内网蔓延。还没有出现爆发大范围感染的情况,但分析其代码可知,内网蔓延的隐患依然存在。变种变异。随着杀毒软件和安全防护措施的升级,“WannaCry”勒索软件若想避免查杀继续存活,或会改变特点值,而为继续感染更多计算机,也可能利用新的漏洞进行换代升级。

    3、全球遭受网络攻击整体情况

    (1)网络攻击触及的范围广

    此次网络攻击触及百余个国家和地区的政府、电力、电信、医疗机构等重要信息系统及个人电脑遭受严重网络攻击,最严重区域集中在美国、欧洲、澳洲等。截至目前,全球攻击案例超过75000个。

    (2)网络攻击无明显地域、行业散布特点

    从受攻击目标类型与地域散布来看,此次攻击未表现出显著的地域与行业散布特点,与“WannaCry”随机扫描传播机制1致,攻击无明显指向性和目标性。

    (3)各方积极应对与防范

    各国政府谨慎应对。还没有国家政府宣称已调查掌握事件幕后详细情况。英、德、俄、美等多个国家向本国公民及机构发出正告,要求尽快更新补钉,做好计算机数据备份等防护工作。对已感染设备中被加密的文件,目前各国政府及信息安全企业均没法提供有效的数据破解恢复手段。英国政府国家网络安全中心(NCSC)称其第1时间启动了针对事件及攻击者的调查;德国、俄罗斯政府网络安全机构也作出了类似表态。相干安全企业展开技术分析。

    研判分析认为,目前较为明确的攻击幕后背景线索主要是从代码中逆向分析发现的3个比特币钱包地址和5个暗网命令控制服务器,各国网络安全与司法调查机构均已锁定了这些目标,通过各方合作,力求尽快发现攻击者的实际背景情况。

    4、处置建议

    “WannaCry”勒索蠕虫是勒索软件类病毒中全球首例使用远程高危漏洞进行自我传播的蠕虫,加密编程规范,如不公然私钥,很难通过其他手段对被加密勒索的文件进行解密,为此建议:

    (1)应急措施

    1、立即断网,避免分散和蔓延。对已感染“WannaCry”勒索蠕虫的计算机,尽快关机,取出硬盘,通过专业数据恢复软件进行恢复。立即切断内外网连接,避免感染网络中的其他计算机。

    2、启动恢复程序,及时修复补钉。若计算机存在备份,应启动备份恢复程序,及时安装修复补钉。

    (2)防范方案

    1、个人用户采取应急措施,安装漏洞修复补钉。“WannaCry”勒索蠕虫利用的是微软官方的SMB漏洞,请个人用户及时检查安装MS17-010修复补钉。与此同时,及时采取临时解决方案,1是关闭计算机的445端口,2是配置主机级ACL策略封堵445端口,3是打开“Windows防火墙”,进入“高级设置”,在入站规则中禁用“文件和打印机共享”相干规则。

    2、网络管理员修改网络配置,监控网络接口。建议各网络管理员在网络防火墙上配置相干策略,限制外部对445端口的访问,加强内网审计。同时在接入交换机或核心交换机抓包,查看是否是存在大量扫描内网139、135、445端口的网络行动,及时定位扫描发出发点,对扫描设备进行病毒查杀,1旦发现被感染主机,立即断网避免进1步分散。

    (3)平常使用规范

    在平常计算机使用进程中,对重要信息数据定期及时进行备份;浏览网页和使用电子邮件的进程中,切勿随便点击可以链接地址;及时更新操作系统及相干软件版本,实时安装公然发布的漏洞修复补钉。