由於 WannaCry(想哭)勒索病毒/勒索蠕蟲的大規模散播,讓勒索病毒在五月成為全世界的焦點。從最初的攻擊之後,我們又看到了 UIWIX、Adylkuzz 和最近的 EternalRocks 都在使用相同的核心漏洞。
三種威脅間的共同點是MS17-010以及 Shadow Brokers 所披露的工具和漏洞。這些威脅不僅攻擊了系統上的漏洞,還充分地利用了企業在修補程式管理和系統升級上所面臨的根本難題。讓我們來看看它們所造成的影響,並思考一下為什麼這些威脅會發生。
但首先,我們來快速比較一下WannaCry、UIWIX和EternalRocks:
| WannaCry | UIWIX | EternalRocks | |
| 攻擊載體 | SMB漏洞(MS17-010),TCP端口445 | SMB漏洞(MS17-010),TCP端口445 | SMB漏洞(MS17-010),五個其他漏洞和兩個工具,TCP端口445 |
| 檔案類型 | 執行檔(EXE) | 動態連結函式庫(DLL) | 執行檔(EXE) |
| 添加副檔名 | {original filename}.WNCRY | ._{unique id}.UIWIX | N/A |
| 自動啟動和持續機制 | 註冊檔 | 無 | 排程任務 |
| Anti-VM,VM檢查
或防沙箱技術 |
無 | 檢查VM與沙箱相關檔案或資料夾 | 無 |
| 網路活動 | 在網路上隨機掃描IP地址來檢查是否有開放端口445(擴散);使用Tor瀏覽器連接.onion網站(C&C通訊) | 使用mini-tor.dll連接.onion網站(它的C&C)來發送加密資訊和取得資訊(C&C通訊) | 在網路上隨機掃描IP地址來檢查是否有開放端口445(擴散);使用Tor瀏覽器連接.onion網站(C&C通訊) |
| 例外狀況(如果偵測特定系統組件就不執行) | 無 | 如果是俄國語系,哈薩克斯坦語系或白俄羅斯語系就自我終止 | N/A |
| 例外清單(不會加密的資料夾或檔案) | 避免加密特定資料夾內的檔案 | 避免加密兩個資料夾內的檔案以及檔名帶有特定字串的檔案 | N/A |
| 網路掃描和擴散能力 | Yes(蠕蟲型態擴散) | No | Yes(蠕蟲型態擴散) |
| Kill switch(中止開關) | Yes | No | N/A |
| 針對檔案類型數量 | 176 | 系統內除了例外清單的所有檔案 | N/A |
| 刪除磁碟區陰影複製(Shadow Copy) | Yes | No | N/A |
| 支援語系(勒贖通知和付款網站) | 多語系(27) | 英文 | N/ |
最大的影響並不是在財務上而是對現實世界的損害,包括醫療單位被迫關閉系統
到最後,光是 WannaCry 就感染了約150個國家的23萬名使用者。雖然這些惡意軟體造成大量散播和多個變種,到目前為止只有約11萬美元的贖金被支付。這顯示最大的影響並不是在財務上而是對現實世界的損害。一些產業(包括醫療單位)被迫關閉系統以阻止惡意軟體散播。這將數位威脅帶到了真實世界,讓這些攻擊對真正的世界造成影響。
不過 EternalRocks 不會植入任何惡意有效載荷(payload)。儘管它用了五個漏洞和兩個偵察工具,但並沒有留下任何惡意檔案。它確實利用了 DoublePulsar 的漏洞讓後門程式能夠進入受感染系統,可能會在之後讓惡意分子使用。
它們為什麼這麼做?可能是為了未來鋪路!
當惡意分子進入系統卻沒有植入惡意有效載荷(payload)時,就可能是為了未來鋪路。攻擊者可能正在為將來的攻擊準備。也可能是為了讓人分心,不去注意到其他漏洞正在被攻擊。
防禦這些威脅的第一道防線是更新系統,修補 ShadowBrokers所披露的所有漏洞。想了解更多最新威脅資訊及如何做好防備,請參考這裡。
@原文出處:The Latest on WannaCry, UIWIX, EternalRocks and ShadowBrokers 作者:Jon Clay
⊙延伸閱讀:
- 為何 WannaCry 只勒索 300 美金,卻為企業帶來災難?
- WannaCry/ WCRY “想哭”勒索病毒漏洞檢查工具
- 面對 WannaCry/Wcry 勒索病毒,IT 系統管理員該做些什麼?
- < WannaCry 勒索病毒 > 60 天前已修正的問題,怎麼還會肆虐全球呢?-「為何不修補就好?」事情沒您想像的簡單!
