CNNVD公佈WannaCry勒索軟件攻擊事件分析報告

IT之家5月16日消息 國家信息安全漏洞庫（CNNVD）是中國信息安全測評中心為切實履行漏洞分析和風險評估的職能，負責建設運維的國家信息安全漏洞庫，為我國信息安全保障提供基礎服務。

今天，CNNVD公佈了WannaCry勒索軟件攻擊事件的分析報告，報告分析了網絡攻擊事件背景、“WannaCry”勒索軟件技術特點及危害、全球遭受網絡攻擊總體情況和防範手段。

以下為報告原文：

北京時間2017年5月12日，一款名為“WannaCry”（也稱WannaCrpt、WannaCrpt0r、Wcrypt、WCRY）的勒索軟件在全球範圍內爆發，造成極大影響。針對本次攻擊事件，國家信息安全漏洞庫（CNNVD）進行了分析研究，情況如下：

一、網絡攻擊事件背景

此次爆發的“WannaCry”勒索軟件主要借鑑了針對微軟Windows系統漏洞的利用工具“永恆之藍”（EternalBlue）進行傳播擴散。2017年4月14日，黑客組織Shadow Brokers（影子經紀人）公佈了黑客組織Equation Group（方程式組織）的部分洩露文件，文件涉及多個Windows操作系漏洞的遠程命令執行工具，其中即包括“WannaCry”勒索軟件攻擊事件中所涉及的“永恆之藍”利用工具。“WannaCry”勒索軟件藉助“永恆之藍”漏洞利用工具，利用Windows操作系統在445端口的安全漏洞（CNNVD-201703-721 ~ CNNVD-201703-726），潛入電腦對多種文件類型加密，並彈出勒索框，向用戶索要贖金（以比特幣支付）用於解密。

二、“WannaCry”勒索軟件技術特點及危害

（一）攻擊特性

爆發突然。短短一天內，在幾乎毫無任何預兆的情況下，百餘個國家和地區遭受攻擊並呈現蔓延態勢。行為惡劣。勒索蠕蟲一旦成功入侵，將加密系統內全部文檔，並通過破壞硬盤快照的方式增加系統恢復難度，不交付贖金（單機解密贖金300美元至600美元，一般通過比特幣支付）無法解密。自動傳播。可利用Windows平臺所有版本（winXP、Vista、Win7、Win8、Win2003、Win2008、Win10等）的漏洞進行自動傳播，未打補丁的機器極易感染並在內外網快速傳播。難以解密。勒索軟件使用AES128加密文件，使用RSA2048公鑰加密AES密鑰。據目前情況看，基本無法通過計算或碰撞的方式進行解密，國內有企業提出通過設法恢復被刪原文件方式找回原始未加密文件。通信匿名。勒索軟件進行攻擊後，會自動釋放Tor網絡組件，用於解密程序的網絡通信，贖金使用比特幣支付，使勒索過程難以追蹤溯源。時間掐準。此次攻擊發生正值週末，據分析在我國爆發時間應為週五下午3點左右，恰逢國內週末時間。攻擊意外中斷。勒索軟件中預留了終止機制，即訪問一個超長域名成功時，攻擊傳播就會停止。美國洛杉磯威脅情報公司一名員工註冊了該域名開啟了停止機制，域名啟用後每秒訪問IP過千。

（二）現實危害

文檔損失。遭受攻擊的各類文檔均被加密，無法訪問使用。系統停服。系統會不斷彈出交付贖金的窗口，無法正常使用。解密存疑。目前尚無對交付贖金進行解密操作的分析，不確定是否能夠正常解密。

（三）潛在風險

內網蔓延。尚未出現爆發大規模感染的情況，但分析其代碼可知，內網蔓延的隱患仍然存在。變種變異。隨著殺毒軟件和安全防護措施的升級，“WannaCry”勒索軟件若想避免查殺繼續存活，或會改變特徵值，而為繼續感染更多計算機，也可能利用新的漏洞進行換代升級。

三、全球遭受網絡攻擊總體情況

（一）網絡攻擊涉及的範圍廣

此次網絡攻擊涉及百餘個國家和地區的政府、電力、電信、醫療機構等重要信息系統及個人電腦遭受嚴重網絡攻擊，最嚴重區域集中在美國、歐洲、澳洲等。截至目前，全球攻擊案例超過75000個。

（二）網絡攻擊無明顯地域、行業分佈特點

從受攻擊目標類型與地域分佈來看，此次攻擊未表現出顯著的地域與行業分佈特點，與“WannaCry”隨機掃描傳播機制一致，攻擊無明顯指向性和目標性。

（三）各方積極應對與防範

各國政府謹慎應對。尚無國家政府宣稱已經調查掌握事件幕後詳細情況。英、德、俄、美等多個國家向本國公民及機構發出警告，要求儘快更新補丁，做好計算機數據備份等防護工作。對於已感染設備中被加密的文件，目前各國政府及信息安全企業均無法提供有效的數據破解恢復手段。英國政府國家網絡安全中心（NCSC）稱其第一時間啟動了針對事件及攻擊者的調查；德國、俄羅斯政府網絡安全機構也作出了類似表態。相關安全企業開展技術分析。

研判分析認為，目前較為明確的攻擊幕後背景線索主要是從代碼中逆向分析發現的三個比特幣錢包地址以及五個暗網命令控制服務器，各國網絡安全與司法調查機構均已鎖定了這些目標，通過各方合作，力求儘快發現攻擊者的實際背景情況。

四、處置建議

“WannaCry”勒索蠕蟲是勒索軟件類病毒中全球首例使用遠程高危漏洞進行自我傳播的蠕蟲，加密編程規範，如不公開私鑰，很難通過其他手段對被加密勒索的文件進行解密，為此建議：

（一）應急措施

1、立即斷網，防止擴散和蔓延。對於已經感染“WannaCry”勒索蠕蟲的計算機，儘快關機，取出硬盤，通過專業數據恢復軟件進行恢復。立即切斷內外網連接，避免感染網絡中的其他計算機。

2、啟動恢復程序，及時修復補丁。若計算機存在備份，應啟動備份恢復程序，及時安裝修復補丁。

（二）防範方案

1、個人用戶採取應急措施，安裝漏洞修復補丁。“WannaCry”勒索蠕蟲利用的是微軟官方的SMB漏洞，請個人用戶及時檢查安裝MS17-010修復補丁。與此同時，及時採取臨時解決方案，一是關閉計算機的445端口，二是配置主機級ACL策略封堵445端口，三是打開“Windows防火牆”，進入“高級設置”，在入站規則中禁用“文件和打印機共享”相關規則。

2、網絡管理員修改網絡配置，監控網絡接口。建議各網絡管理員在網絡防火牆上配置相關策略，限制外部對445端口的訪問，加強內網審計。同時在接入交換機或核心交換機抓包，查看是否存在大量掃描內網139、135、445端口的網絡行為，及時定位掃描發起點，對掃描設備進行病毒查殺，一旦發現被感染主機，立即斷網防止進一步擴散。

（三）日常使用規範

在日常計算機使用過程中，對重要信息數據定期及時進行備份；瀏覽網頁和使用電子郵件的過程中，切勿隨意點擊可以鏈接地址；及時更新操作系統及相關軟件版本，實時安裝公開發布的漏洞修復補丁。

想看到更多這類內容？去APP商店搜IT之家，天天都有小歡喜。