永恒之蓝:针对WannaCryptor蠕虫,您的电脑打了漏洞补丁吗?


 
迄今为止,我们当中的很多人都已听说上周勒索病毒大爆发事件。该病毒于2017年5月12日席卷全球。它是WannaCryptor的一个新变种,也被称为WannaCry和WannaCrypt,ESET公司将其检测为Win32/Filecoder.WannaCryptor.D。该病毒具有蠕虫特征,能够攻陷网络上的其他电脑。
 
这次攻击目前仍在继续,虽然规模不如以前,但却在恶意程序爆发史上树立了新的里程碑。一系列综合因素 – 部分是由于用户疏忽 – 致使这一勒索蠕虫能够造成如此巨大的损失。
 
本文中,我们将探讨用户应从这一事件中汲取的教训,并预测未来演变趋势。同时我们还提供了简单脚本,方便用户用来检查自己的Windows系统是否已安装永恒之蓝防护补丁。
 
永恒之蓝及WannaCry的蠕虫特征
 
永恒之蓝是利用系统漏洞发起攻击的工具名称,能够使WwannaCry具备自我复制能力,因此能利用网络迅速传播。据称,最初是美国国家安全局开发了这一工具。
 
这就是为何说此次病毒大爆发,可追溯至美国国家安全局网络武器泄密事件的由来,据说名为暗影经纪人的组织窃取了相关网络武器。该组织曾一度试图拍卖网络武器,但未能如愿以偿,因难以获利而一改初衷,决定一对一变卖美国国家安全局的窃密工具。
 
3月14日,微软公司发布了MS17-010号安全补丁,修复了伺服器信息块中存在的关键漏洞。当时尚不明确,该补丁与美国国家安全局的网络武器之间存在任何关联。直到4月14日,暗影经纪人组织发布了很多已窃取工具之后,此事才显露出端倪。 
 
安全补丁发布和漏洞攻击工具泄露之间的时间差,引发了有关整个事件演变过程的一些猜测。总体而言,当时的实际情况如下:通过Windows更新程序,发布永恒之蓝安全漏洞补丁的同时,该工具本身也现身网络。
 
打补丁和漏洞攻击之间的时间竞赛随即展开。自那以后,永恒之蓝之所以泛滥成灾、被越来越多地利用,也绝非巧合。
 
 
 
 
5月12日,永恒之蓝成为已提到大规模染毒事件的主角。网络罪犯已掌握了所有必要工具:从四月初就开始在网上活跃的勒索病毒WannaCryptor(也称为WannaCry),以及漏洞攻击工具永恒之蓝。
 
 
 
 
 
即使如此,家庭用户尤其是公司企业本可以通过多种渠道,摆脱这一勒索病毒的感染。首先,早在两个月之前,永恒之蓝补丁就已公开发布。
 
虽然该补丁与防范勒索病毒的加密机制无关,但它能够阻止主机不被同一网络中的另一台已染毒主机所感染。此外,主机上安装的主动防御软件,例如漏洞拦截工具或(及时更新的)防毒软件套装都能够防止系统染毒,并在恶意软件攻陷网络防御层之后,成功拦截攻击。
 
其次,针对连网主机进出站数据采取一定程度控制措施,也大有裨益。许多公司都要求员工下班时关闭电脑,害怕遭遇网络攻击。但如果能够将连网主机隔离开来并提高病毒查杀能力,此类极端做法便可以成为过去式。
 
未来演变趋势如何?
 
周五晚间,有关勒索病毒中含有启动开关的新闻见诸报道@MalwareTech留意到,恶意程序会首先发出一条HTTP请求,并在连接失败后转入加密操作。
 
由于网域原先并未注册,所有请求都会失败,继而启动勒索软件加密文件的进程。但在注册所请求的网域后,@MalwareTech便可以将连接请求转向应答服务器,从而阻止勒索病毒(首个变种)传播。
 
不久后,其他变种也相继面世。最先出来的几个版本,通过(利用HEXEdit等一类工具)覆盖第一版中的二进制数据,对原网域进行了修改。之后,不含启动开关的版本也被发布了出来。
 
迄今为止,此次攻击所获收入刚刚超过50,000美元,与它所造成的损失相比不值一提。但它再一次表明,利用漏洞发起攻击(不一定是零日攻击)对公司企业的正常经营可能造成巨大影响。
 
 
 
网络罪犯的此类快速反应表明,与恶意软件作斗争绝非是一项轻而易举的任务。他们下手快、适应性强,此次成功得手后,我们预计网络罪犯将如法炮制更多工具和攻击方式,因此我们每个人都应当做好应对更多攻击的准备,尤其是在不远的未来。
 
长期来看,我们很可能将目睹更多蠕虫类恶意程序现身,而在短期内,还将遭遇各类变种利用永恒之蓝发起漏洞攻击的密集攻势。因此,务必打上系统补丁!
 
我的系统是否已打上永恒之蓝防护补丁?
 
这次勒索病毒大爆发之余,我不禁自问,自己的电脑是否打上了永恒之蓝防护补丁 – 请记住,不远的将来,或可出现利用永恒之蓝发起攻击的其他类型恶意程序及其家族。
 
用于本机验证目的:我编写了一个简单脚本,能够提取系统中已安装补丁列表,搜索针对永恒之蓝的相关防护补丁。
 
 
该脚本已通过GitHub发布,使用非常简单:只需执行脚本,等待一分钟左右时间,待脚本调用WMCI提取已安装补丁列表后,最终便可看到永恒之蓝补丁是否已经安装。
 
用于远程验证目的:用以检测主机是否易受永恒之蓝漏洞攻击的新脚本,已被添加进nmap。如代码所示,该脚本“试图检测Microsoft SMBv1服务器是否存在远程代理执行漏洞(MS17-010)”。
 
NMAP v7.40(或更高版本)均可运行以下命令行:
nmap -sC -p445 –open –max-hostgroup 3 –script smb-vuln-ms17-010.nse X.X.X.X/X
 
最后重申,打补丁是对付永恒之蓝的最佳防御措施,因为它能够解决相关工具所针对的漏洞根源。