知道创宇404实验室跟进解读NSA泄密勒索攻击事件

时间：2023-01-16 15:16:01 | 来源：电子商务

时间：2023-01-16 15:16:01 来源：电子商务

2017年4月14日Shadow Brokers公布的NSA使用的针对Windows系统的多个漏洞及攻击工具包，使用这些漏洞工具包攻击成功后会自动植入代号为“Doublepulsar”后门，在NSA这次被泄露的文件里有个代号为“Eternalblue ”(永恒之蓝)是本次爆发的勒索病毒使用的漏洞 ，针对这些漏洞微软明确在2017年3月14日就已经发布了对应的MS17-010安全公告及相关补丁，公告显示NSA泄露的漏洞几乎影响到所有Windows版本。

随后知道创宇404安全实验室针对此次NSA泄密的Windows系统的多个漏洞及攻击工具包进行了分析跟进 …

分析回溯

▲第一轮探测MS17-010漏洞各国排名

2017年4月24日-26日，知道创宇404安全实验室通过ZoomEye网络空间搜索引擎针对MS17-010及NSA漏洞利用工具植入的“Doublepulsar”后门进行了全球第一轮探测。

▲第二轮探测的前后对比情况

2017年5月02日，知道创宇404安全实验室通过ZoomEye网络空间搜索引擎针对MS17-010及NSA漏洞利用工具植入的“Doublepulsar”后门进行了全球第二轮探测。

▲第三轮探测的前后对比情况

2017年5月07日，知道创宇404安全实验室通过ZoomEye网络空间搜索引擎针对MS17-010及NSA漏洞利用工具植入的“Doublepulsar”后门进行了全球第三轮探测。

由此知道创宇404安全实验室历时一个多月的跟进分析最后数据整理为ZoomEye专题页面：上线并发布了详细分析报告。

2017年5月12日，利用“Eternalblue ”(永恒之蓝)漏洞进行攻击的“WannaCry(WanaCrypt0r)”等蠕虫病毒勒索事件全球全面爆发。知道创宇404安全实验室全面启动蠕虫病毒事件应急跟进…

ZoomEye全球公网数据报告相关解读

1、存在MS17-010相关漏洞最多前三的国家依此为：美国、俄罗斯、中国。

其中中国各省影响依次为：台湾、香港、山东、北京、甘肃、江苏。

(注：台湾、香港的影响数量远大于大陆其他省份)

2、被NSA泄漏的工具攻击最快、最多的国家为美国，其次是中国。

其中中国各省影响依次为：台湾、香港、北京、广东、山东。

(注台湾、香港的影响数量远大于大陆其他省份)

3、根据三轮探测数据显示相关应急速度最快最好为美国。

4、中国外网暴露影响最大主要集中在台湾和香港，而中国大陆影响相对较小，这跟历史上骨干网isp拦截相关端口有关。

▲被植入“Doublepulsar”后门主机与操作系统关系图

5、从被植入的NSA后门的主机操作系统统计来看Windows 2008和Windows 7是主要被感染的系统，值得注意的是其中还有不少是用是一个面向小型企业的操作系统Windows Small Business Server 2011、主要用于嵌入式设备Windows Embedded Standard。

"WannaCry”等蠕虫病毒相关解读

此次爆发的病毒结合了暗网(Tor)、最新Windows远程攻击漏洞、勒索软件、比特币支付这四大特性。

1、这次病毒完美利用暗网及比特币监管空白，追踪溯源的难度非常大，导致病毒作者可以肆无忌惮得释放传播蠕虫病毒。

2、勒索软件的结合打破了内网、隔离网络的安全神话。

勒索软件机制通过主动加密、过期删除等破坏手段要挟中招用户主动联系病毒作者支付比特币，从而导致了最新Windows远程攻击漏洞的攻击面扩大，直接威胁到内网及隔离网络里的主机。虽然从 ZoomEye 跟踪的公网数据结果显示漏洞影响逐步减少，另外中国大陆 isp 机制导致外网影响面相对较小，但是更大的内网及隔离网络缺少对应的安全机制，甚至缺少安全补丁更新机制，使得本次蠕虫病毒攻击内网、隔离网络的事件得以大规模爆发。

3、病毒开始入侵内网、隔离网络可能的路径?

那么这次爆发病毒是怎么传播到内部、隔离网络的呢?可能的方式主要有：

● 外网机器中招后传播到内网;

● 邮件钓鱼、水坑挂马等攻击方式传播到内网;

● 其他类似于分析样本等未注意网络隔离等奇葩的方式。

4、勒索病毒加密的文件是否被解密或恢复?

目前分析结果表明勒索病毒加密文件使用了两套密钥，通过本地密钥加密的文件可实现解密，但是通过网络密钥加密文件目前还没有解密方法。另外研究表明可以通过传统数据恢复软件等手段针对病毒删除的文件进行部分恢复。

5、通过解析“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea”域名的方法实现“免疫”的方法或者工具是否有效果?

通过分析现有公布worm病毒样本发现的，病毒文件启动会检测iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这个域名的访问，如果能访问就会无害退出程序，所以基于这个逻辑很多公司推出了对应的免疫程序和方法。所以针对目前感染的病毒样本此法还是有用的，但是这对病毒变种或者利用MS17-010实现的新病毒程序就无法实现“免疫”了，所以目前最好的方法是使用Windows官方补丁进行修复，值得一提的是微软已对停止安全更新的xp和2003操作系统，但同样紧急发布了漏洞补丁，必要时候先禁用445等相关端口。

6、病毒怎么会感染到铁路、医院、银行、加油站、公路管理等系统或设备?

隔离网络或内网因素上述已经提过，这里从ZoomEye报告里关于“被植入的NSA后门的主机操作系统统计”数据来看也可以得到一些另外的结论，这种蠕虫病毒使用的漏洞影响面几乎覆盖了所以我的Windows操作系统版本，其中有不少用于工业控制领域的嵌入式设备的系统 如Windows Embedded Standard。

7、病毒传播方式结合 APT(GPT) 的攻击方式值得研究和深思。

本次“WannaCry”等勒索蠕虫病毒暴力破坏性的利用，几乎在一天之内就影响全球各个行业、多个国家政府职能相关服务，也直接影响到了人们的日常生活。如果结合 APT(GPT) 的隐蔽性、目的性，攻击可能导致更加可怕的影响。