此外,我們還看到了一個新的WannaCry的變種,該變種并不利用原來的“killswitch”開關。研究人員現(xiàn)在懷疑這個機制其實是嘗試繞開部分自動對GET請求進行應答的動態(tài)分析引擎,從而避免被探測到。
原始說明:
一個名為Wanna,WannaCry或Wcr的自我復制的勒索軟件正在對世界各地的計算機進行破壞。最初的信息顯示:在大部分公司的最初擴散是通過傳統(tǒng)方法,主要是Necurs僵尸網(wǎng)絡出來的郵件和PDF文件。WannaCry的特殊性在于它能夠從首例病患開始,在啟用了SMBv1的網(wǎng)絡里迅速地擴散。
這個SMBv1的不須認證的遠程代碼執(zhí)行(Remote-Code-Execution)工具在2017年4月14日由“影子經(jīng)紀人”組織公開。它被非正式地稱為“永恒之藍”,并且微軟主動地在3月14 日的安全公告MS17-010里面提到。
看看下面這個公開的“永恒之藍”的例子,讓我們了解為何該勒索軟件可以高效傳播;它完全不需要攻擊者的任何操作,就可以在一個脆弱的公司里傳播。
微軟主動發(fā)布了對應補丁(MS17-010)后,許多用戶仍然沒有部署該補丁。
盡管該勒索軟件很讓人擔心,采用了Juniper的安全解決方案的客戶可以相對更放心一些,他們的環(huán)境是受到保護的。下面,我們回顧一下WannaCry的特征,以及現(xiàn)有的可以防止它爆發(fā)的工具。
首先,已經(jīng)部署了我們先進的SkyATP的云端惡意軟件防護解決方案的客戶非常可能已經(jīng)在多個層次上得到了防護:
- 通過SkyATP的安全智能信息推送更新,用戶和Necurs僵尸網(wǎng)絡的通信自動被截斷;向內(nèi)部的訪問可以被Juniper的SRX防火墻丟棄;
- 如果沒有用到上面的基于網(wǎng)的安全信息推送更新的防護,SkyATP的防惡意軟件功能可以通過其強壯的多段檢測管道(包括基于特征庫的檢測,機器學習的靜態(tài)分析,和基于沙盒的誘騙動態(tài)分析機制)識別WannaCry。到現(xiàn)在(5月12日)為止,我們分析了24個獨立的案例,在30秒內(nèi)全部被識別和抓到;
- 基于以上的實現(xiàn)機制,假設即使SkyATP沒有阻擋該文件的初次下載,SkyATP的機制是一旦識別到該文件是惡意的,就可以將此信息傳遞到各個企業(yè)的SRX設備,從而在網(wǎng)絡層面隔離該惡意軟件。
SkyATP識別到的WannaCry勒索軟件(上圖)
SkyATP里面對WannaCry的行為分析(上圖)
部署了Juniper 安全分析解決方案(JSA)的客戶也可以更好地防護各種勒索軟件。在這個WannaCry的例子里面,SIEM會基于異常檢測技術(特別是點對點的SMB和文件生成行為)生成多個事件和受攻擊信息。
下面以Windows 7的設備為例,說明如何識別勒索軟件攻擊里用到的異常的寫文件的動作:
當一個設備開始寫大量的文件(對整個文件系統(tǒng)進行加密)時,對一個SIEM來說是比較容易識別的事件。Juniper的SIEM的特別之處在于:Juniper可以將該威脅信息發(fā)布到我們的軟件定義的安全網(wǎng)絡(SDSN)解決方案里面,從而在幾秒鐘內(nèi)隔離受到影響的主機。
對于Juniper IDP入侵防御和防火墻SRX的客戶而言,MS17-010在多個CVE和對應的特征庫得到了覆蓋。請確認以下的IDP特征更新并且啟用:
|
SMB:CVE-2017-0145-RCE |
SMB: Microsoft Windows CVE-2017-0145 Remote Code Execution |
|
SMB:CVE-2017-0146-OOB |
SMB: Microsoft Windows SMB Server CVE-2017-0146 Out Of Bounds Write |
|
SMB:CVE-2017-0147-ID |
SMB: Microsoft Windows SMB Server CVE-2017-0147 Information Disclosure |
|
SMB:CVE-2017-0148-RCE |
SMB: Microsoft Windows CVE-2017-0148 Remote Code Execution |
|
SMB:ERROR:MAL-MSG |
SMB: Malformed Message |
Juniper的軟件定義的安全網(wǎng)絡(SDSN)的架構如下,通過SDSN的部署,Juniper EX/QFX交換機和SRX防火墻都能成為策略的執(zhí)行者,云端識別和策略推送,可以很快地實施連接到交換機端口的主機訪問隔離控制和防火墻的安全策略,從而最快地隔離受影響的主機,避免攻擊擴散。
WannaCry的詳細分析:
雖然到不同目標的傳遞機制有異,許多報文顯示包括了母文件(通常是PDF)嵌入了些可移植的執(zhí)行文件(PE)。在我們的例子里面,打開這些PE文件后,可以看到“WNcry@2o17”字樣的密碼,讓你可以打開一個嵌入的zip文件:
如果你解壓這個zip文件,你就會看到一個多種文字的txt的勒索信息:
zip文件里面的多種文字的勒索信息(上圖)
內(nèi)嵌的tasksche.exe文件的功能是探測連在目標機器上的所有的邏輯硬盤:
反匯編的tasksche.exe文件(上圖)
執(zhí)行了惡意文件后,該文件用“永恒之藍”通過SMBv1(TCP 445)對外連接,當該軟件開始加密本地硬盤時,用戶得到了以下界面,文件被加密,彈出勒索界面:
除了對Windows系統(tǒng)打補丁這一必須的安全防護操作之外。還可以依據(jù)本病毒的傳播原理進行一些網(wǎng)絡層面的防護。WannaCry通過兩類掃描尋找可以被感染的主機:
- 隨機生成的Internet地址,一旦可以感染,將持續(xù)掃描該地址所屬的Type C網(wǎng)段
- 掃描本機所屬的局域網(wǎng)。
對于類型1的掃描,邊界防護-邊界路由器、防火墻的ACL可以進行阻擋。但實際上,由于網(wǎng)絡邊界通常都不開放445端口對內(nèi)網(wǎng)的映射,因此這類防護只可以保護直接暴露于Internet的主機,比如通過BBE連接的個人用戶或DMZ中的主機。
對于類型2的掃描,邊界防護的作用非常有限。還需要在內(nèi)網(wǎng)接口進行進一步的防護。
基于Juniper的網(wǎng)絡和安全設備的防護方法建議如下:
一、Juniper防火墻設備:
- 采用防火墻策略,阻止目的端口的445(135/137/138/139的類似)訪問;
- 更新IDP的入侵防御特征庫并部署特征匹配;
- 采用Sky ATP的防御機制;
- 結合軟件定義的安全網(wǎng)絡解決方案(SDSN)實施整體防護。
二、Juniper路由設備:
1、定義filter,阻止445端口(135/137/138/139的類似,在discard的term里面加入即可)
set firewall family inet filterDENY_WANNACRY term deny_wannacry from destination-port 445
##set firewall family inet filterDENY_WANNACRY term deny_wannacry from destination-port 135-139)##
set firewall family inet filterDENY_WANNACRY term deny_wannacry then discard
set firewall family inet filterDENY_WANNACRY term default then accept
2、在forwarding-options下應用
set forwarding-options family inet filter input DENY_WANNACRY
三、Juniper交換設備:
采用group方式在接口上批量應用filter(有大量業(yè)務接口時使用這種方法可節(jié)省工作量)
1、定義groupIFS_DENY_WANNACRY:所有ge接口的所有子接口入方向應用filter DENY_WANNACRY
set groups IFS_DENY_WANNACRY interfaces <ge-*> unit <*> familyethernet-switching filter input DENY_WANNACRY
(注:有使用到其他接口類型,使用上述配置方法增加)
2、定義filterDENY_WANNACRY, 阻止445端口(135/137/138/139的類似)
set firewall family ethernet-switchingfilter DENY_WANNACRY term deny_wannacry from destination-port 445
##setfirewall family ethernet-switching filter DENY_WANNACRY term deny_wannacry fromdestination-port 135-139##
set firewall family ethernet-switchingfilter DENY_WANNACRY term deny_wannacry then discard
set firewall family ethernet-switchingfilter DENY_WANNACRY term default then accept
3、應用group配置
set apply-groups IFS_DENY_WANNACRY
注意事項:
1) 如果接口下已有filter配置,這個接口下的group配置不會生效,要在接口已有filter配置下修改;
2) filter最后一個term要放行其他所有流量,否則會影響業(yè)務。
特別感謝Asher Langton, Peter Gael, Laurence Pitt, 和 Lee Fisher對這篇快速響應文檔的幫助:
