揭开WannaCry真面目不惜一切保客户-网络安全专区

揭开WannaCry真面目不惜一切保客户

作者：厂商投稿编辑：高博 2017-05-18 16:28 IT168网站原创

　　【IT168 评论】2017年5月16日，中国计算机学会CCF举行“勒索病毒：凭什么能绑架我们的系统?”特别技术论坛，绿盟科技高级安全专家应邀出席，发表题为“WannaCry勒索蠕虫技术分析” 的演讲，汇报近期研究成果。正是基于这些研究，绿盟科技得以携手客户，有效应对勒索病毒的攻击。

　　12日晚，全球爆发大规模勒索软件(WannaCry)感染事件，NTI威胁情报中心第一时间截获可疑攻击，并展开深入分析，但其背后的攻击者及目的一直没有浮出水面。在后续的回溯分析过程中发现，WannaCry其实早在2月份就已经出现，但并未引起业界的重视。在随后一段时间，攻击者利用企业在漏洞修补方面的时间延后，及方程式泄露的EternalBlue漏洞，进行自我升级，最终形成了大规模爆发。

　　1.2017.2月 WannaCry 1.0被发现，未引起重视

　　2.2017.3.14 微软MS17-010修复6个SMB漏洞

　　3.2017.4.14 EternalBlue利用代码泄漏

　　4.2017.5.12 WannaCry 2.0 勒索蠕虫出现

　　5.2017.5.12 MalwareTech注册了开关域名，蠕虫传播速度变缓

　　6.2017.5.14 有2个二进制patch的变种出现

　　目前截止5月16日12时，攻击者比特币账户共计收到237笔转账，约合人民币41万余元。下图展示了近期受害者转账情况。

　　对于这些情况，绿盟科技安全专家在此次论坛上，对攻击者利用漏洞、工具及安装的DOUBLEPLUSAR后门，进行了深入讲解，并结合这些信息，展示了WannaCry勒索病毒的攻击原理及过程。这些研究成果表明，绿盟科技已经掌握了WannaCry勒索病毒的TTP(策略、技术与过程)，形成可用的威胁情报，并基于NTI威胁情报中心不断追踪监测后续可能的变种，以及WannaCry攻击态势。

　　绿盟科技通过威胁情报监测，截获WannaCry2.0勒索病毒两个变种，经过对比分析，发现没有本质变化，绿盟科技的防护措施持续有效。近期的分析，请参看《Wannacry勒索软件溯源分析》报告。

1.0 Wcry 2.0 WannaCry的u.wnry

　　WannaCry勒索病毒来势汹汹但绿盟科技是有备而来

　　13日凌晨打响的战斗，在绿盟科技应急指挥中心的统一指挥下，与各大行业客户携手展开应急响应行动。日夜奋战的目的只有一个，不惜一切代价保障客户业务系统安全。

　　1. 5月12日晚间，NTI绿盟威胁情报中心监测到可疑攻击;

　　2. 5月13日凌晨，陆续接到来自各地的现场值守工程师的通报，随后截获恶意样本;

　　3. 5月13日上午10时，经过梳理确认，预警通告正式发送给各大客户;

　　4. 5月13日上午10时，绿盟未知威胁分析系统TAC率先实现WannaCry勒索病毒检测，并随后给出检测报告;

　　5. 5月13日上午12时，NIPS/NIDS/NF/RSAS产品防护能力已经确认就绪;

　　6. 5月13日下午1时，安全服务团队经过慎重验证，率先发布一键加固脚本，当天持续更新3个版本;

　　7. 5月13日下午1时，各地服务团队结合多年服务客户业务的经验，开始实施修补加固动作，协助用户升级产品，安装补丁;

　　8. 5月13日下午5时，NTI威胁情报中心发布WannaCry勒索病毒监测及分析报告;