第三媒體軟件中心軟件網絡資訊互聯網資訊 → 知道創宇404實驗室 跟進解讀NSA泄密勒索攻擊事件 TTL

知道創宇404實驗室 跟進解讀NSA泄密勒索攻擊事件

上傳:我心亂飛     來源:信息存儲服務     日期:2017-05-15

[摘要]  
   2017年4月14日Shadow Brokers公布的NSA使用的針對Windows系統的多個漏洞及攻擊工具包,使用這些漏洞工具包攻擊成功后會自動植入代號為“Doublepulsar”后門,在NSA這次被泄露的文件里有個代號為“Eternalblue ”(永恒之藍)是本次爆發的勒索病毒使用的漏洞
 
[正文]    

   2017年4月14日Shadow Brokers公布的NSA使用的針對Windows系統的多個漏洞及攻擊工具包,使用這些漏洞工具包攻擊成功后會自動植入代號為“Doublepulsar”后門,在NSA這次被泄露的文件里有個代號為“Eternalblue ”(永恒之藍)是本次爆發的勒索病毒使用的漏洞 ,針對這些漏洞微軟明確在2017年3月14日就已經發布了對應的MS17-010安全公告及相關補丁,公告顯示NSA泄露的漏洞幾乎影響到所有Windows版本。

   隨后知道創宇404安全實驗室針對此次NSA泄密的Windows系統的多個漏洞及攻擊工具包進行了分析跟進 …

分析回溯

知道創宇404實驗室 跟進解讀NSA泄密勒索攻擊事件

 ▲第一輪探測MS17-010漏洞各國排名

   2017年4月24日-26日,知道創宇404安全實驗室通過ZoomEye網絡空間搜索引擎針對MS17-010及NSA漏洞利用工具植入的“Doublepulsar”后門進行了全球第一輪探測。

知道創宇404實驗室 跟進解讀NSA泄密勒索攻擊事件


▲第二輪探測的前后對比情況

   2017年5月02日,知道創宇404安全實驗室通過ZoomEye網絡空間搜索引擎針對MS17-010及NSA漏洞利用工具植入的“Doublepulsar”后門進行了全球第二輪探測。

知道創宇404實驗室 跟進解讀NSA泄密勒索攻擊事件


▲第三輪探測的前后對比情況

   2017年5月07日,知道創宇404安全實驗室通過ZoomEye網絡空間搜索引擎針對MS17-010及NSA漏洞利用工具植入的“Doublepulsar”后門進行了全球第三輪探測。

   由此知道創宇404安全實驗室歷時一個多月的跟進分析最后數據整理為ZoomEye專題頁面:上線并發布了詳細分析報告。

   2017年5月12日,利用“Eternalblue ”(永恒之藍)漏洞進行攻擊的“WannaCry(WanaCrypt0r)”等蠕蟲病毒勒索事件全球全面爆發。知道創宇404安全實驗室全面啟動蠕蟲病毒事件應急跟進 …

ZoomEye全球公網數據報告相關解讀

   1、存在MS17-010相關漏洞最多前三的國家依此為:美國、俄羅斯、中國。

   其中中國各省影響依次為:臺灣、香港、山東、北京、甘肅、江蘇。

(注:臺灣、香港的影響數量遠大于大陸其他省份)

   2、被NSA泄漏的工具攻擊最快、最多的國家為美國,其次是中國。
其中中國各省影響依次為:臺灣、香港、北京、廣東、山東。

(注 臺灣、香港的影響數量遠大于大陸其他省份)

   3、根據三輪探測數據顯示相關應急速度最快最好為美國

   4、中國外網暴露影響最大主要集中在臺灣和香港,而中國大陸影響相對較小,這跟歷史上骨干網isp攔截相關端口有關。

知道創宇404實驗室 跟進解讀NSA泄密勒索攻擊事件


▲被植入“Doublepulsar”后門主機與操作系統關系圖

   5、從被植入的NSA后門的主機操作系統統計來看Windows 2008和Windows 7是主要被感染的系統,值得注意的是其中還有不少是用是一個面向小型企業的操作系統Windows Small Business Server 2011、主要用于嵌入式設備Windows Embedded Standard。

"WannaCry”等蠕蟲病毒相關解讀

   此次爆發的病毒結合了暗網(Tor)、最新Windows遠程攻擊漏洞、勒索軟件、比特幣支付這四大特性。

   1、這次病毒完美利用暗網及比特幣監管空白,追蹤溯源的難度非常大,導致病毒作者可以肆無忌憚得釋放傳播蠕蟲病毒。

   2、勒索軟件的結合打破了內網、隔離網絡的安全神話。

   勒索軟件機制通過主動加密、過期刪除等破壞手段要挾中招用戶主動聯系病毒作者支付比特幣,從而導致了最新Windows遠程攻擊漏洞的攻擊面擴大,直接威脅到內網及隔離網絡里的主機。雖然從 ZoomEye 跟蹤的公網數據結果顯示漏洞影響逐步減少,另外中國大陸 isp 機制導致外網影響面相對較小,但是更大的內網及隔離網絡缺少對應的安全機制,甚至缺少安全補丁更新機制,使得本次蠕蟲病毒攻擊內網、隔離網絡的事件得以大規模爆發。

   3、病毒開始入侵內網、隔離網絡可能的路徑?

   那么這次爆發病毒是怎么傳播到內部、隔離網絡的呢?可能的方式主要有:

●  外網機器中招后傳播到內網;
●  郵件釣魚、水坑掛馬等攻擊方式傳播到內網;
●  其他類似于分析樣本等未注意網絡隔離等奇葩的方式。

   4、勒索病毒加密的文件是否被解密或恢復?

   目前分析結果表明勒索病毒加密文件使用了兩套密鑰,通過本地密鑰加密的文件可實現解密,但是通過網絡密鑰加密文件目前還沒有解密方法。另外研究表明可以通過傳統數據恢復軟件等手段針對病毒刪除的文件進行部分恢復。

   5、通過解析“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”域名的方法實現“免疫”的方法或者工具是否有效果?

   通過分析現有公布worm病毒樣本發現的,病毒文件啟動會檢測iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com這個域名的訪問,如果能訪問就會無害退出程序,所以基于這個邏輯很多公司推出了對應的免疫程序和方法。所以針對目前感染的病毒樣本此法還是有用的,但是這對病毒變種或者利用MS17-010實現的新病毒程序就無法實現“免疫”了,所以目前最好的方法是使用Windows官方補丁進行修復,值得一提的是微軟已對停止安全更新的xp和2003操作系統,但同樣緊急發布了漏洞補丁,必要時候先禁用445等相關端口。

   6、病毒怎么會感染到鐵路、醫院、銀行、加油站、公路管理等系統或設備?

   隔離網絡或內網因素上述已經提過,這里從ZoomEye報告里關于“被植入的NSA后門的主機操作系統統計”數據來看也可以得到一些另外的結論,這種蠕蟲病毒使用的漏洞影響面幾乎覆蓋了所以我的Windows操作系統版本,其中有不少用于工業控制領域的嵌入式設備的系統 如Windows Embedded Standard。

   7、病毒傳播方式結合 APT(GPT) 的攻擊方式值得研究和深思。

   本次“WannaCry”等勒索蠕蟲病毒暴力破壞性的利用,幾乎在一天之內就影響全球各個行業、多個國家政府職能相關服務,也直接影響到了人們的日常生活。如果結合 APT(GPT) 的隱蔽性、目的性,攻擊可能導致更加可怕的影響。

   (新聞稿 2017-05-15)


頻道首頁 】【 評論 】 【 打印 】 【 字體:
   上一篇:三寶機器人化身足球寶貝, 智能助陣燃爆中甲賽場
   下一篇:箭牌衛浴跨界音樂玩把大的,玩起來很嗨“身”!
導航:報價 | 大全 | 排行榜 | 產品大全 | 參量 | 訂閱 
 Advertisement
 十大最受關注的新聞
1  人像視頻手機OPPO Reno5系列發布,開啟視頻手機新賽段
2  劉作虎發七周年內部信,一加要不止于“小而美”
3  和5V慢充說拜拜 倍思閃速系列二拖三充數據線驚艷亮相
4  趁雙十二入手三星Galaxy Note20系列超值 錯過要等一年
5  金士頓: 經典煥新 金士頓DTKN金屬盤及DTX多彩盤
6  OPPO手機: 新機首發破億,OPPO Reno5手機軟實力不俗
7  高校電競里程碑 動感地帶5G校園先鋒賽湖北賽圓滿成功
8  海云數據推動數據價值變現,獲最具價值AI應用獎
9  聯想: 中置彈出式攝像頭,聯想拯救者電競手機Pro降價
10  vivo手機: 雙模5G全網通 vivo iQOO 3手機電競游戲體驗
 十大熱門驅動/軟件下載
1  [手機驅動]手機usb萬能
2  [熱門常用軟件]QQ2008正式版下載【騰訊QQ2008官方版Beta1】
3  [熱門常用軟件]E話通下載【E話通4.5 正式版】
4  [手機驅動]Samsung三星 手機USB驅動1.0版For Win98SE/ME/...
5  [手機驅動]Microsoft微軟 ActiveSync同步軟件4.5中文版Fo...
6  [攝像頭驅動]萬能攝像頭 FOR Windows
7  [熱門常用軟件]皮皮播放器下載【PPFilm皮皮播放器 2.1.0....
8  [手機驅動]諾基亞 PC套件下載
9  [熱門常用軟件]面對面游戲下載【面對面視頻游戲大廳】
10  [手機驅動]Microsoft微軟 Windows Mobile Device Center ...
 十大最受關注的品牌
1  三星手機(SAMSUNG)
2  諾基亞手機(NOKIA)
3  華碩筆記本(ASUS)
4  摩托羅拉手機(MOTOROLA)
5  英特爾CPU(Intel)
6  華碩主板(ASUS)
7  LG手機(LG)
8  索愛手機(Sony Ericsson)
9  聯想筆記本(lenovo)
10  宏碁筆記本(acer)
 十大熱門常用軟件下載
1  QQ2008正式版下載【騰訊QQ2008官方版Beta1】
2  E話通下載【E話通4.5 正式版】
3  皮皮播放器下載【PPFilm皮皮播放器 2.1.0.2版】
4  面對面游戲下載【面對面視頻游戲大廳】
5  DVD解碼器下載【NVIDIA DVD Decoder 1.02】
6  迅雷5下載【迅雷5.8.1.507官方版】
7  QQ2007 II正式版下載【騰訊QQ2007官方版本】
8  QQ2006正式版下載【騰訊QQ2006官方版本】
9  聯眾世界游戲大廳下載【聯眾世界2.7.0.8官方版】
10  MTV下載器【MTV下載精靈 8.31版】
11  pplive最新版下載【PPLive網絡電視V1.9.35版】
12  迅雷(Thunder)下載【迅雷v5.7.12.493官方版】
13  騰訊QQ2008下載【騰訊QQ官方版2008極速賀歲版KB1】
14  Total Video Converter下載【Total Video Converter v3.1...
15  QQ拼音輸入法下載【騰訊QQQQ拼音輸入法V1.4.1版】
16  皮皮高清影視播放器下載【PIPIPlayer 2.7.0.3版】
17  eMule下載【電驢eMule官方v0.49a正式版】
18  極點五筆輸入法下載【極點五筆6.1標準版】
19  QQ2009正式版下載【騰訊QQ2009 SP4官方版】
20  Vagaa哇嘎畫時代版下載【哇嘎 2.6.5.10】
   >> 查看評論   
 
   >> 查看更多評論   [共有0條評論]
發表評論
        
        
   點評:
   姓名:  
            字數: 0
     
新聞精選
·高通人工智能應用創新大賽頒獎典禮線上隆重舉
·銷22.5萬輛、漲幅超51% 長城皮卡的秘訣在于“
·榮泰RT8900雙子座按摩椅獲新浪2020科技風云榜
·虛擬小號保護法律、醫療、醫美、心理咨詢行業
·同樣是買皮卡, 為什么一半的人選擇了長城 ?
·資訊科技幫助香港企業轉型, 掌握未來 化危為
  ·廣東省網絡安全應急響應中心(網絡安全110) 正
·網上管家婆張國彬,云端ERP助商家提效前提是
·榮泰漫威聯名款筋膜槍,可以放在口袋里的身體
·小米營銷攜手雀巢 為用戶打造智能健康新生活
·完美郵箱超級域名正式來襲,現在搶注還來得及
·GENANX閃電潮牌聯手360推出聯名款,開啟2021