早在WannaCry之前 至少存在3個組織利用永恆之藍發起攻擊

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全5月25日訊 WannaCry最近掀起一場「血雨腥風」，勒索病毒引發全球恐慌，這個被全球關注的勒索病毒帶來眾多啟示，引人深思。眾所周知，WannaCry利用了EternalBlue(永恆之藍)漏洞利用，而WannaCry爆發之前，至少有3個不同的黑客組織在利用「永恆之藍」。

過去數天，安全專家發現多起攻擊也利用了「永恆之藍」。 「影子經紀人」（The Shadow Brokers）4月泄露了該SMB漏洞利用，但惡意軟體研究人員表示，其它威脅也在使用這款NSA漏洞利用，例如自4月24日開始活躍的比WannaCry還厲害Adylkuzz虛擬貨幣挖礦殭屍網路。有相當一部分設備沒有被WannaCry感染，就是因為它們已經被Adylkuzz率先霸佔。

遠程訪問木馬

安全公司Cyphort的專家在一個蜜罐伺服器上發現的證據表明，威脅攻擊者5月初就已經在利用這個漏洞傳播隱秘的遠程訪問木馬（RAT），而非勒索軟體。這款RAT不具有WannaCry的蠕蟲功能，有證據表明這個RAT是從IP（182.18.23.38）發出的。

Cyphort在分析中寫道，一旦漏洞利用成功，攻擊者會將加密有效載荷作為Shellcode發送。該Shellcode通過帶有密鑰「A9 CA 63 BA」的XOR（一種數學邏輯運算）加密。Shellcode具有一個嵌入式二進位DLL文件，該文件可算作木馬，可以下載其它惡意軟體，並接收控制器的命令。

一旦感染系統，惡意代碼會關閉445埠，阻止其它惡意軟體濫用同樣的SMB漏洞，攻擊者可能是不想其它威脅攙合進來。由此表明，攻擊者知道「永恆之藍」漏洞。

或與Mirai的幕後黑客組織有關

研究人員認為，這起攻擊是Mirai的幕後黑客組織所為，因為這兩者的攻擊指示器（IOC）存在相似之處。

這款木馬設置以下註冊表運行條目下載並執行其它惡意軟體。

該惡意軟體試圖刪除大量用戶，並終止和/或刪除多個文件或進程。專家們還注意到，它連接到與ForShare 8.28網站上託管的遠程訪問工具。

命令與控制伺服器可以指示該惡意軟體執行各種命令，包括監控視頻、捕獲音頻和視頻、監控擊鍵、傳輸數據、刪除文件、終止進程、下載並執行文件等。

躲避式攻擊

Secdo公司也發布分析報告宣稱，WannaCry爆發幾周之前，他們就發現了濫用「永恆之藍」漏洞利用的證據，可以證明多個組織在利用「永恆之藍」。

Secdo發現一種新的躲避式攻擊（不留下任何痕迹），四月中旬以前，一直在使用NSA漏洞利用感染組織機構，而勒索軟體是最明顯的有效載荷。

研究人員還報告稱，威脅攻擊者正在使用基於「永恆之藍」的蠕蟲感染被劫持網路中的所有設備，並滲漏登錄憑證。

「無文件」惡意軟體

Heimdal的專家最近發現UIWIX勒索軟體，這是一個「無文件」惡意軟體，其利用的也是「永恆之藍」。與WannaCry一樣，UIWIX利用Windows SMB協議中的同一個漏洞，但後者在利用「永恆之藍」之後，有能力在被感染系統內存中運行。

4月末，Secdo的專家證實，他們發現了另一個利用EthernalBlue的攻擊，並稱威脅攻擊者使用殭屍網路傳送後門。這款惡意軟體開始會在lsass.exe內創建線程（LWP），這與登錄憑證竊取攻擊類似，它不會靜靜存在於內存中，其初始有效載荷連接回埠998（2.x.x.x）上的C&C伺服器，下載已知的Rootkit後門（基於Agony）。文件被丟進666.exe下的%programdata%。現有NG-AV廠商能阻止666.exe運行，但卻不能組織惡意線程在lsass.exe內運行。

新病毒「永恆之石」利用了7大NSA黑客工具，其中就包括「永恆之藍」。

由此可見，WannaCry爆發幾周之前，至少有三個不同的黑客組織利用「永恆之藍」漏洞，這意味著，安全界很大一部分人無法監控威脅或無法共享觀察到的攻擊信息。

「永恆之藍」攻擊的成功體現出網路安全目前模式的失敗。

「永恆之藍」威脅仍在

如何預防？

「永恆之藍」工具利用的是微軟Windows操作系統的SMBv1協議中的安全漏洞，其利用代碼主要針對Windows XP、Windows7、Windows Server 2008等，這些版本的操作系統占桌面、伺服器操作系統的大部分。未經身份驗證的攻擊者可以向目標機器發送特製報文觸發緩衝區溢出，導致在目標機器上遠程執行任意代碼，因而此次事件對於Windows的影響非常嚴重。「永恆之藍」工具會掃描開放445文件共享埠的Windows機器，只要用戶開機上網，黑客就可能在電腦和伺服器中植入勒索軟體。目前微軟已發布補丁MS17-010修復了「永恆之藍」工具所利用的系統漏洞。

請還沒有進行任何處理的電腦小白們儘快將系統升級到服務期內的版本並及時安裝可用的補丁。如果無法升級到服務期內的版本，建議用戶部署基本的防火牆，禁止電腦直接使用公網IP。

• 在Windows系統上關閉不必要開放的埠，如445、135、137、138、139等，並關閉網路共享。

• 定期備份重要文件數據。

面向Windows XP SP2的修復更新KB4012598：

64位版Windows XP Service Pack 2：

面向Windows XP SP3的修復更新KB4012598：

註：該版本確實是微軟提供給SP3的但也確實發錯了，眾多用戶遭遇到了無法正常安裝的情況。

面向Windows Server 2003的修復更新KB4012598：

面向Windows Vista的修復更新KB4012598：

64位版Windows Vista：

kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

32位版Windows Vista：

面向Windows 7的修復更新KB4012212：

64位版Windows 7：

kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

32位版Windows 7：

面向Windows 8的修復更新KB4012598：

64位版Windows 8：

32位版Windows 8：

kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

面向Windows 8.1的修復更新KB4012598：

64位版Windows 8.1：

32位版Windows 8.1：

面向Windows 10的修復更新KB4012606：

64位版Windows 10：

32位版Windows 10：

面向Windows 10的Windows SMB修復更新：

請點擊開始菜單—小齒輪（設置）—更新與安全—Windows Update—檢查更新—提示無更新說明已經安裝了。

Windows 10 Version 1703版對此漏洞免疫，因此使用該版本的用戶不需要進行任何操作比如關閉埠。

免疫指的是已經封堵了445埠漏洞因此無需操作，如果你手抖自己運行病毒那麼抱歉全部給你加密了。

安恆信息「永恆之藍」勒索病毒應急包匯總：

http://www.dbappsecurity.com.cn/%E5%AE%89%E6%81%92%E4%BF%A1%E6%81%AF%E5%85%B3%E4%BA%8E%E6%9C%80%E6%96%B0%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E5%AE%89%E5%85%A8%E5%A4%84%E7%BD%AE%E5%B7%A5%E5%85%B7%E9%9B%86.rar

微信無法打開第三方鏈接，長按識別下方二維碼打開更新包鏈接：

25

E安全要聞簡訊

2017年5月

01

最新安全報告：DDoS攻擊次數減少但是規模更大

02

加密貨幣已進入高燒階段,替代幣風頭已蓋過比特幣

03

漏洞預警:Samba遠程代碼執行漏洞（CVE-2017-7494）

04

最新「永恆之石」勒索病毒處置方案

05

換個角度看看，為什麼釣魚攻擊總能成功？

06

微軟1億美元收購以色列網路安全創業公司Hexadite

07

企業和家庭用戶小心了!Linksys路由器多個型號出現安全漏洞

08

微軟發布工具與資源：助企業輕鬆遵循歐盟GDPR新規

09

視頻:1秒破解三星S8虹膜識別 官方回應正在調查

10

國家標準《信息安全技術 大數據安全管理指南》徵求意見稿全文

11

黑客攻擊卡達通訊社旗下網站與推特 偽造國家元首講話

12

生物黑客將電子羅盤植入體內用來感知方向

13

第七屆CNCERT網路安全應急服務支撐單位完整名單

14

5.23人工智慧——江湖上傳說又起

15

以WannaCry勒索攻擊事件為例分析《網路安全法》有效性度量

16

早在WannaCry之前 至少存在3個組織利用永恆之藍發起攻擊

17

電子支付與機器時代的結合，未來大量女性職員面臨失業電子支付與機器時代的結合，未來大量女性職員面臨失業-E安全

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！