WannaCry勒索病毒事件分析
  

深信服安全产品研发 发表于 2017-5-16 15:48


WannaCry勒索病毒事件分析
               
                                                                           
5月12日晚开始,WannaCry勒索病毒席卷全球。目前至少有150个国家受到网络攻击,受入侵电脑超过20万,并且影响还在持续中,用户依然需要加强防护措施。

事件概览
WannaCry勒索病毒事件最初在英国曝光,12日晚上10点,英国时间大约下午3点半,英国全国共16家医院同时遭到网络攻击。所有被攻击的电脑都被锁定桌面。“你的电脑已经被锁,文件已经全部被加密,除非你支付价值300美元的比特币,否则你的文件将会被永久删除”。

1.png


很快,在英国地区遭受这些攻击的同时,全球多地发出告警,一场针对全球的网络攻击,瞬时展开。

我国多个行业网络同样受到WannaCry勒索病毒攻击,其中教育行业中的校园网受损尤为严重。

目前,全球遭遇攻击的国家超过150个,幸免的国家,要么没有电脑,要么没有网络。


2.png


永恒之蓝漏洞
通过分析发现,WannaCry 勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010。

虽然微软已在今年3月份发布了该漏洞的补丁。但是依然有大量用户未升级补丁,导致电脑或服务器中招。

漏洞来源
今年4月,方程式组织泄露addjob、swift、windows三个文件夹的数据,其中windows目录下是一些针对Windows系统的一些攻击工具和漏洞利用程序。本次“永恒之蓝”攻击程序就是在此文件夹中的一个攻击程序。

“永恒之蓝”攻击程序利用的是Windows SMB远程提权漏洞,可以攻击开放了445 端口的 Windows 系统并提升至系统权限。

漏洞影响
深信服防火墙早在一个月前就已经发布针对微软SMB漏洞的攻击防护。从公网上拦截的攻击来看,从5月12号晚上开始,不到一天的时间,发现并拦截针对MS17-010 SMB漏洞的攻击多达4590次,其中受灾最严重的地区是杭州市,被攻击次数多达1612次。具体被攻击地区分布如下图所示:

3.png


在4590次针对MS17-010漏洞的攻击中,受攻击最多的行业是教育行业,受攻击次数3896次。

4.png


针对攻击情况,深信服千里目安全实验室对攻击源头进行追溯,发现有987次攻击IP源来自Walnut(美国沃尔纳特),其次来自Matawan(美国马特万)的攻击有869次。

5.png



提前感知漏洞很重要
实际上,Windows SMB远程命令执行漏洞(MS17-010漏洞)发布于4月15日,16日,深信服互联网风险监测中心对MS17-010漏洞数据进行了分析,发现全国8647站点中161个网站存在安全风险。并针对161个网站的修复情况,通过每周(7天一个周期)统计分析得出结论如下:

6.png

MS17-010漏洞修复情况

统计显示,使用深信服安全服务的客户安全能力明显得到提升,网站漏洞的修复情况明显得到改善。数据中可以看到,隔周修复漏洞的站点超过100个,隔月修复率98.1%,截止到5月15日,没有接到使用互联网风险监测服务的用户遭到勒索的反馈。

新型“蠕虫式”勒索软件 WannaCry 通过MS17-010漏洞(1day/Nday)传播,时间上来看从漏洞爆发到WannaCry肆虐,有近一个月的时间,从统计结果可以看到,如果用户能够提前感知MS17-010漏洞,并对漏洞进行修复,是可以提前解决本次WannaCry勒索带来的风险的。

重视安全,防范风险
首先,本次攻击是利用上个月爆发的漏洞来进行攻击,在爆发时微软已提供完整的补丁供用户升级防护,各大安全厂商也纷纷发布解决方案。其次,勒索病毒并不陌生,这几年也频繁出现,然而这次勒索病毒却联合微软SMB漏洞在全球网络制造出核弹级的网络攻击风波。究其原因,是大家对漏洞认知较少,也不清楚是否需要防护,该如何去防护。

由于没有相关监测产品对其业务进行7*24小时的安全值守,导致很多用户对安全漏洞感知不足,使得攻击者通过漏洞对其业务进行勒索。

信服君希望未来能够帮助越来越多的用户加强安全预警的能力,提前将风险扼杀在“萌芽期”,避免安全风险带来的损失。

应急指南

1、个人用户详细处理指南,可通过链接下载:
http://sec.sangfor.com.cn/download?file=person.doc
2、网络管理员详细处理指南,可参见:
http://sec.sangfor.com.cn/download?file=manager.doc
(链接请复制到浏览器中打开)

SANGFOR 咨询与服务
您可以通过以下方式联系我们,获取关于WannaCry的免费咨询及支持服务:
1)拨打电话400-630-6430(已开通勒索软件专线)
2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问深信服社区bbs.sangfor.com.cn,选择右侧在线咨询或智能服务,进行咨询

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

Sangfor_闪电回_朱丽 发表于 2017-5-16 16:18
  
还是大数据好, 有理有据,中国受灾最严重的地区是杭州市,杭州的人民扛住哇
哥丶珍藏版 Lv9发表于 2017-5-16 16:30
  
我周边没遇到
13833702835 Lv0发表于 2017-5-21 17:35
  
这边没有发生,不过提前预防了