原标题:WannaCry进化为蠕虫,勒索软件杀伤力大增
自2013年第一个加密型勒索软体Cryptolocker问世之后,加密型勒索软体在最近一两年成为常见的资安威胁,然而,却未曾有过一个勒索软体能像发生于5月12日的WannaCry一样,在一个周末就让全球超过150个国家、数十万台电脑被攻击。
5月12日,正当大家準备开始过周末时,欧洲陆续传出多起勒索软体攻击事件,包括西班牙Telefonica电信公司、英国国民保健服务NHS(National Health Service)旗下多家医疗院所、法国雷诺(Renault)汽车工厂,纷纷出现电脑视窗跳出WanaCrpyt0r 2.0勒索软体的绑架讯息,索求300美元至600美元等值的比特币(Bitcoin)赎金。
英国NHS旗下的多家医院因为电脑被WannaCry绑架,诸多医疗服务停摆,病患被迫临时转院,而排定好的手术甚至被取消及延后。雷诺汽车在法国北部的工厂,以及英国日产(Nissan)的工厂,也都传出WannaCry攻击,雷诺汽车更因为生产系统被绑架,文件档案被加密,整个工厂被迫停工。
然而这只是攻击的序曲,才过没多久全球各地就在瞬间传出大量灾情。美国快递业者Fedex在12日下午证实遭勒索软体攻击,德国铁路公司的车站电子看板被发现出现WannaCry勒索软体的讯息,泰国曼谷的户外广告看板也被拍到勒索软体的画面,俄罗斯内政部则证实1千台电脑被WannaCry攻击。
台湾在12日晚间开始出现网友报告受害事件,随后教育部证实10所学校共59台电脑被攻击,台电则有116台行政电脑被攻击,而恩主公医院则有3台行动护理车受害。在韩国、日本、中国,也都陆续发生相同的灾情。韩国一家连锁电影院旗下50家间戏院都被WannaCry入侵,日本JPCERT统计出6百家企业、2千台电脑被攻击,根据中国防毒软体公司奇虎360的统计,中国起码有3万个机构遭WannaCry攻击,包含政府机构、大学、医院及自动提款机都遭殃。不过才短短的两天,WannaCry的攻击就如燎原之火,在全球以迅雷般的速度散播,如此现象在过去未曾有过。
?▉ 勒索软体结合漏洞攻击?
就在WannaCry掀起全球轩然大波之际,资安研究员很快就发现WannaCry之所以能以前所未见的速度散布攻击,在于它的设计不同于过往的勒索软体。
资安研究员发现WannaCry主要是利用微软作业系统的SMBv1/SMBv2(Server Message Block)漏洞,并且採用在上个月被Shadow Broker骇客组织公开的美国国安局(NSA)的攻击工具EternalBlue,因而能够主动感染具有SMB漏洞的Windows电脑。
过去勒索软体主要透过钓鱼邮件夹带的恶意程式,或是诱使受害者点击会下载勒索软体的恶意网址连结,在受害者点击钓鱼邮件附带的勒索软体,或点击恶意连结后,勒索软体才会执行,因此只要不乱开启来源不明的邮件、档案或连结,被勒索软体攻击的机率就很低。
WannaCry则是新一代的勒索软体,它不只是透过钓鱼邮件、恶意连结或恶意档案散播,更具有主动感染功能。WannaCry会扫描网路上的电脑,只要发现具有SMB漏洞的电脑,就以EternalBlue攻击程式主动入侵该电脑,一旦渗透成功,WannaCry勒索软体就会在受害电脑自动执行,一方面将受害电脑的档案逐一加密,另一方面则继续入侵其他有SMB漏洞的电脑。由于WannaCry具有电脑蠕虫一样的主动渗透功能,可说不再只是传统的勒索软体,更贴切的说法是勒索蠕虫,而这也是WannaCry在全球迅速扩散的关键。
WannaCry在感染电脑之后,就会针对180种电脑档案格式,以RSA 2048加密技术予以加密,并改存为副档名为WNCRY的加密档。受害者若要回复加密档案,则必须在3天内支付等值300美元的比特币,以取回解密金钥,超过3天则赎金加倍至600美元,若超过7天未付赎金,解密金钥就会被销毁。
由于WannaCry是针对Windows作业系统的SMBv1/SMBv2漏洞(这个漏洞存在于Windows 10之前的版本),所以只要安装微软在3月提供的MS17-010更新程式,就能修补漏洞,让WannaCry无法得逞。或者,关闭SMB通讯协定所採用的445埠,也可达到阻挡的效果。(不过连带会影响档案分享等功能。)而因为WannaCry的灾情过于严重,微软也破例针对早已终止支援的Windows XP提供修补程式。此外,现在许多资安公司的防护软体都已经具有侦测WannaCry的功能,也有些公司提供免费的侦测软体。
然而,值得注意的是WannaCry的攻击行为比传统勒索软体更具杀伤力。过去只要不开启来源不明的邮件、档案、连结,几乎不须担心勒索软体上身,可是发展成WannaCry这样具备蠕虫主动入侵的特性之后,即便电脑使用者知道不开启陌生档案,但只要电脑系统存在可被入侵的漏洞,连上网路就会被勒索蠕虫绑架。经此一役,大家应该深刻体会到软体更新的重要性。
?▉ WannaCry诸多细节扑朔迷离?
从WannaCry大规模爆发至今不到一周的时间内,在全球资安研究员投入分析调查之下,许多WannaCry的细节逐一被揭露,不过目前整个事件仍未有定论,而且也存在许多不同的论点。例如MalewareTech资安研究员Marcus Hutchins发现WannaCry会存取一个未注册的网址,在他立即注册该网址后,想不到整个攻击趋势随之骤降,因而这个网址被认为是销毁机制(Kill Switch),只要网址不存在,WannaCry就会持续扩散,而只要网址存在,就停止扩散。
不过,也有资安研究员认为这应该是反沙箱侦测的设计,因为在侦测软体的沙箱中,对于恶意程式的所有对外连结都会回覆为连结成功,以让恶意程式继续运作,得以掌握其所有行为。而WannaCry的作者就反其道而行,使其不被侦测软体辨识出来。然而,若WannaCry真有反侦测功能,为何不设计为随机产生对外连结的网址,反而是连结一个固定的网址。
WannaCry的勒索赎金机制也让人猜不透,资安研究人员无法理解为何WannaCry把三个支付赎金的比特币帐户写在程式裏,而不是针对每次支付产出对应的帐户,因为就这三个帐户很快就会被追查出来,事实上,资安研究人员也查出截至目前为止赎金支付金额不到7万美元。而这样的金额与WannaCry在全球引起的大骚动无法对比,因为单就思科Talos资安研究团队在2015年底终结的勒索软体Angler而言,估计一年非法所得就超过6千万美元。
在众多尚未釐清的细节中,目前资安研究员持有较多相同看法的,是高度怀疑WannaCry背后藏镜人与Lazarus骇客集团有高度关联。卡巴斯基与赛门铁克比对WannaCry在2月份早期版本的程式码与Lazarus在2015年发动的Contopee后门程式,也发现两者有共同程式码的情况,BAE Systems也发现两者皆以C++编写,编译器皆为Visual Studio 6.0,而这也是Lazarus骇客集团的习惯。在过去针对索尼影视被骇,及去年底孟加拉银行被盗8千万美元的调查中,多家资安公司的研究员皆发现Lazarus为幕后主导者,而且与北韩政府有密切关係。
虽然WannaCry幕后指使者真正目地为何,至今仍无法得知,整个事件调查也尚未有定论,不过WannaCry进化为蠕虫的转变,已确定了勒索软体将成为未来致命性的网路攻击武器,不论是企业与个人都必须严加防範,因为可预期网路犯罪组织将起而效尤。
?台湾是全球「想哭」的重灾区吗??
在这次WannaCry攻击事件当中,许多国内媒体纷纷以台湾是全球第二大受灾国为题进行报导,然而,若想要寻找明确数据来证实,却非易事。
我们也向各家资安厂商洽询,希望得到进一步证实。根据他们的观察与分析,台湾受到这次攻击的事态严重性确实存在,但在受害数量有所出入。
我们最早看到可能是台湾灾情的资讯,是在Malwarebytes这家资安产商的威胁分析报告,他们提到在5月12日这一天,全亚太地区受到WannaCry攻击影响程度最严重的地方,就是台湾。
而以防毒软体闻名的赛门铁克和趋势科技,他们均表示既有台湾用户并未面临严重灾情。
另一家以防火墙产品与技术着称的厂商Check Point,最近也提供WannaCry勒索软体感染範围的专属网站(网址是https://attacks.mgmt.cloud/),目前(5月18日)我们看到台湾的感染来源是3,068个,在亚太地区仅次于印度(18,003)。
整体而言,厂商对于WannaCry台湾灾情认定,彼此仍存在着不小的落差,但若单就亚太地区而言,感染比例偏高似乎比较可信,因为已有两家厂商提出数值。
德国铁路公司的车站电子看板与泰国曼谷的户外广告看板,都被WannaCry入侵,代表勒索软体进化为蠕虫后,将对企业的营运系统造成更大的影响。(图片来源/右:@Martin Wiesner、左:@ALiCE6TY9)
?相关报导 「史上第一勒索蠕虫WannaCry肆虐,全球资安拉警报!」
相关:
卡巴斯基:遭WannaCry感染的电脑有98%是Windows 7
示意图,与新闻事件无关。 卡巴斯基实验室(Kaspersky Lab)的全球研究暨分析总监Costin Raiu上周指出,受到WannaCry勒索软体影响最剧的视窗作业系统为Windows 7,高达98%被感染的电脑为Windows 7作业系统。根据该
无档案式匿踪勒索软件UIWIX现身,不仅自动发动勒索攻击,还窃取受害者的网络凭证
勒索软体UIWIX的勒索信内容 图片来源: 趋势科技 趋势科技在17日揭露,近日出现新勒索软体UIWIX与勒索蠕虫WannaCry攻击方式相似,同样锁定Windows的SMB漏洞来发动勒索攻击,但是,UIWIX是无档案方式来攻击,而且会躲
图片来源: 趋势科技 对应日前WannaCry勒索软体的横行与威胁,已有不少资安厂商也提供建议与相关资讯供参考。而为了快速地找到公司内未修补MS17-010的电脑,我们看到有资讯人员提供,利用Nmap网路扫描与探测工具,自发
自5月12日起席卷全球的新型“蠕虫”式勒索病毒蔓延持续。北京时间周五晚,名为“WannaCry”勒索软件迅速在网络扩散,目前,已扩展至包括美、英、中、俄、西、意等100多个国家和地区。黑客要求受害者支付价值300美元的
勒索软件UIWIX现身,不仅发动勒索攻击,还窃取受害者的网络凭证
勒索软体UIWIX的勒索信内容 图片来源: 趋势科技 趋势科技在17日揭露,近日出现新勒索软体UIWIX与勒索蠕虫WannaCry攻击方式相似,同样锁定Windows的SMB漏洞来发动勒索攻击,但是,UIWIX是无档案方式来攻击,而且会躲