攻击过程
Wanacrypt0r勒索软件攻击过程主要为病毒传播、病毒感染 、实施勒索三个步骤:
• 此次病毒传播,利用SMB漏洞,使用“永恒之蓝”来进行初始攻击。
• 被执行后,WanaCrypt0r加密本地关键文件和网络共享文件夹。
• 完成加密后,勒索软件在用户系统弹出提示框,对用户进行勒索。如需恢复被加密文件,需要缴纳赎金。
比较有意思的是,Wanacrypt0r会访问一个域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com如果访问成功,那么勒索软件就不会加密文件。这个域名是个攻击开关。
应对措施
山石网科防勒索软件解决方案,多个维度,提供完美的细致的实时防护和层层防:
在侦查和漏洞利用阶段:
• 利用策略管控 —— 禁止外网到内网的SMB流量,在防火墙上阻断对135/137/139/445端口的访问;禁止SMB服务流量在内网不同区域之间转发,从而禁止Wanacrypt0r恶意流量感染到内网的不同区域。
• 利用入侵防御系统 —— 山石网科入侵防御系统已经加入对MS17-010的检测特征,升级山石网科入侵防御系统特征库到2.1.187版本,开启1905385, 1905387, 1905388, 1905389, 1905390规则,即可对利用MS17-010的漏洞进行检测和防御。
在病毒传播阶段:
• 利用病毒过滤 —— 山石网科病毒过滤的特征库已经加入Wanacrypt0r的特征,开启病毒过滤功能即可进行检测和拦截。
• 利用沙箱防护 —— 山石网科沙箱防护已经可以检测到Wanacrypt0r及其变种,开启沙箱防护即可对Wanacrypt0r及其变种进行检测。
在勒索软件执行阶段:
当Wanacrypt0r勒索软件通过网络途径突破入侵防御和病毒过滤的检测及防护,或是通过BYOD带入绕过网络途径的防护措施,进入到执行锁定阶段,山石智能安全检测技术将成为最后一道防线。
山石网科的域名生成算法(Domain Generation Algorithms, DGA)检测到WanaCrypt0r对异常域名的连接,并将其标记为域名相关的威胁事件。根据这个事件的通知,企业安全管理员应该注意到部分内部主机被WanaCrypt0r感染,从而立即采取策略,阻止病毒的传播。
本次事件中,DGA检测到Wanacrypt0r勒索软件攻击中使用了一些DGA域名,“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”就是其中之一。