勒索病毒/勒索軟體 - 資安趨勢部落格

MS-17-010：EternalBlue對SRV驅動程式的Large Non-Paged Pool溢位

2017 年 06 月 03 日2017 年 06 月 26 日趨勢科技 TrendMicro

EternalBlue的漏洞攻擊碼在五月成為受人注目的焦點，因為它和過去數周出現的大規模惡意軟體攻擊大有關聯 – 知名的 WannaCry(想哭) 勒索蠕蟲、無檔案勒索病毒UIWIX、SMB蠕蟲 EternalRocks以及電子貨幣採礦惡意軟體Adylkuzz。

EternalBlue（微軟釋出MS17-010修補）是關於Windows SMB 1.0（SMBv1）伺服器如何處理特定請求相關的安全漏洞。一旦攻擊成功，就可以讓攻擊者在目標系統上執行任意程式碼。EternalBlue及其他被駭客集團Shadow Broker所流出漏洞攻擊碼的嚴重性和複雜性被認定為中到高的程度。

趨勢科技進一步的研究EternalBlue內部運作來更加地了解此漏洞攻擊如何運作，並提供關於此漏洞攻擊肆虐世界各地不同產業組織的技術見解。

《延伸閱讀》與 WannaCry 較勁?!「EternalRocks」一口氣用同個駭客集團外流的七個漏洞展開攻擊

漏洞分析

Windows SMBv1的核心函式srv!SrvOs2FeaListToNt在處理檔案延伸屬性（FEA）時，Large Non-Paged核心集區記憶體（kernel pool memory）存在緩衝區溢位的漏洞。srv!SrvOs2FeaListToNt在將FEA列表轉換成NTFEA（Windows NT FEA）列表前會呼叫srv!SrvOs2FeaListSizeToNt來計算所接收FEA列表的大小。按順序進行下面操作：

srv!SrvOs2FeaListSizeToNt會計算FEA列表大小和更新所接收FEA列表大小
因為錯誤的WORD類型轉換造成FEA大小比原值大
當FEA列表重複地被轉換為NTFEA列表時，非分頁集區（non-page pool）會出現溢位，因為原本的總列表大小被誤算

溢位分析

我們的溢位分析是根據srv.sys 6.1.7601.17514_x86。有漏洞的程式碼可以用srv!SrvSmbOpen2觸發。追踪如下：

00 94527bb4 82171149 srv!SrvSmbOpen2

➜ SrvOs2FeaListSizeToNt() 繼續閱讀

企業如何對抗頑強的 CERBER 勒索病毒變種?

2017 年 05 月 31 日2017 年 05 月 25 日趨勢科技 TrendMicro

勒索病毒 Ransomware (勒索軟體/綁架病毒)在2016年相當地猖獗，出現大規模的攻擊活動及各種能夠對抗安全措施的新變種。在2016年年底，Locky和 CERBER勒索病毒家族似乎在市場佔有率方面遇上頻頸。但這隨著 CERBER 發展出新的躲避偵測能力而有所改變。根據 Security Intelligence的報導，CERBER在2017年的市場佔有率達到70%，並且在第一季末上升至90%。相較之下，Locky在2017年第一季只剩下2%的佔有率。

CERBER已經展現其躲避安全軟體偵測的成功，為了犯罪活動而加以優化。新CERBER變種也開始會繞過機器學習工具，不過趨勢科技也站在解決這些問題的最前端。事實上，趨勢科技最近發表了一份報告秀出CERBER迄今為止的演變及如何維護安全性的進階解決方案。隨著CERBER持續對企業造成威脅，了解如何防範新變種及解決目前漏洞變得相當重要。

CERBER的快速變形讓其躲避偵測

就跟大多數惡意軟體一樣，CERBER透過垃圾郵件、漏洞攻擊套件及其他感染途徑散播。當接收者點入連結或開啟郵件時，程式會在背景被偷偷下載，開始加密檔案。但CERBER與許多其他勒索病毒不同。它不僅會重新命名目標副檔名和檔案名稱；微軟指出它也會選擇感染的資料夾。比方說，CERBER會避開系統資料夾，但會加密共享網路及本機磁碟上，進而讓感染擴散。

CERBER還經常進行升級，以「勒索病毒服務」(Ransomware as a Service，簡稱 RaaS)的形式賣給網路犯罪分子。這些修改使其很難被鎖定。在2016年，伺服器每15秒鐘改變一次CERBER，每次都產生新的哈希（Hash）。根據SecurityWeek，解決方案需要偵測這些哈希（Hash）來識別惡意軟體，但CERBER的快速變形技術讓其躲避偵測。這技巧是讓CERBER能夠繼續保持神祕並且讓新變種成功抵禦安全措施的關鍵。繼續閱讀

< 勒索病毒風暴 > 剖析三隻利用企業在修補程式管理和系統升級難題的勒索病毒:WannaCry、UIWIX、EternalRocks

2017 年 05 月 27 日2019 年 09 月 27 日趨勢科技 TrendMicro

由於 WannaCry(想哭)勒索病毒/勒索蠕蟲的大規模散播，讓勒索病毒在五月成為全世界的焦點。從最初的攻擊之後，我們又看到了 UIWIX、Adylkuzz 和最近的 EternalRocks 都在使用相同的核心漏洞。

三種威脅間的共同點是MS17-010以及 Shadow Brokers 所披露的工具和漏洞。這些威脅不僅攻擊了系統上的漏洞，還充分地利用了企業在修補程式管理和系統升級上所面臨的根本難題。讓我們來看看它們所造成的影響，並思考一下為什麼這些威脅會發生。

但首先，我們來快速比較一下WannaCry、UIWIX和EternalRocks：繼續閱讀

WannaCry 想哭勒索病毒,凸顯出 GDPR 期限前的重大安全落差

2017 年 05 月 25 日2017 年 06 月 23 日趨勢科技 TrendMicro

經歷了所有這一切的恐慌，WannaCry(想哭)勒索蠕蟲終於在世界各地平息了。但這並不是能夠加以忘記而繼續前行的時候。從這次的攻擊中可以學到許多寶貴的經驗，為何它如此成功，以及該做什麼來防止它再次發生。而一個令人無法想到的事實是，許多在這月初遭受WannaCry肆虐的企業可能會遭到罰款，如果相同的事情是發生在一年之後。

沒錯，歐盟一般資料保護法規（General Data Protection Regulation,簡稱 GDPR）即將來臨，為企業帶來全新的緊迫性，意識到在WannaCry(想哭)勒索蠕蟲之後需要大規模的進行網路安全檢修。

資料外洩或勒索病毒？

猛一看，勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊跟即將到來的歐洲資料保護法規並沒有什麼關聯。畢竟，WannaCry被攻擊者的資料是被加密而不是被竊。但仔細看看GDPR會告訴我們不同的故事。

第4.12條規定：繼續閱讀

WannaCry 勒索病毒尚未平息,利用相同漏洞攻擊的 UIWIX 接踵而來

2017 年 05 月 18 日2017 年 05 月 19 日趨勢科技 TrendMicro

WannaCry 哭聲未止,其他網路犯罪集團紛紛利用相同的漏洞來攻擊

一波未平一波又起,上周末WannaCry(想哭)勒索病毒/勒索蠕蟲剛爆發,另一隻也是利用 Server Message Block (SMB) 漏洞的UIWIX勒索病毒緊接著發動網路攻擊，除了 UIWIX 勒索病毒 (趨勢科技命名為 RANSOM_UIWIX.A) 還有另一個專門開採墨內羅 (Monero) 貨幣的木馬程式。

UIWIX 並非 WannaCry,但更難偵測

最近有些新聞報導表示 UIWIX 是 WannaCry 新演化的版本，但根據我們持續不斷的分析發現，這是一個全新的勒索病毒 Ransomware (勒索軟體/綁架病毒)家族，只不過和 WannaCry 一樣是利用 Server Message Block (SMB) 漏洞 (MS17-010，代號 EternalBlue，由 Shadow Brokers 所公開揭露) 來感染系統並在網路內散布，同時還會掃瞄網際網路上的電腦以尋找更多受害者。

UIWIX 有何不同？首先，它是所謂的無檔案型態病毒，UIWIX 是經由 EternalBlue 漏洞直接進入記憶體中執行。無檔案的感染方式不會在電腦硬碟寫入檔案或元件，因此不會留下什麼痕跡，所以更難偵測。

此外，UIWIX 的行為更加謹慎，只要它偵測到虛擬機器 (VM) 或沙盒模擬環境存在，就會自行終止。根據 UIWIX 程式內的字串顯示，它似乎可以蒐集感染系統上所儲存的瀏覽器、FTP、電子郵件以及即時通訊軟體帳號登入資訊。

以下是 WannaCry 和 UIWIX 主要特點：繼續閱讀