即使漏洞修補了兩年, WannaCry 仍是 使用EternalBlue 漏洞攻擊手法中最多的

即使在 EternalBlue(永恆之藍)漏洞已經修補了兩年多後,EternalBlue 仍舊非常活躍。即使到了 2019 年,WannaCry 還是所有使用 EternalBlue 攻擊手法的惡意程式當中偵測數量最多的。它的偵測數量幾乎是所有其他勒索病毒數量加總的四倍。

勒索病毒和挖礦程式的最愛: EternalBlue

2017 年,全球有史以來最嚴重的 WannaCry(想哭)勒索病毒勒索病毒爆發事件,其背後的動力就是 EternalBlue(永恆之藍) 漏洞攻擊手法。直到今天,儘管該手法所利用的漏洞早已修正,還是有很多惡意程式 (從勒索病毒HYPERLINK “https://blog.trendmicro.com.tw/?p=12412” Ransomware到常見的虛擬貨幣貨幣挖礦程式) 還在利用這項漏洞攻擊手法。

「WannaCry」對資安研究人員、企業、甚至是一般網路使用者都是一個耳熟能詳的名字,2017年該勒索病毒爆發的疫情在當時幾乎佔據了全球媒體版面,造成許多跨國企業花費數百萬、數千萬甚至上億美元的成本來進行修復和復原。兩年後的今天,企業依然經常遭到 WannaCry 襲擊。根據趨勢科技 Smart Protection Network™ 的資料,WannaCry 仍是 2019 年偵測數量最多的勒索病毒。事實上,WannaCry 的偵測數量甚至超越所有其他勒索病毒家族偵測數量的總合。

WannaCry 依然占了絕大部分的勒索病毒偵測數量:WannaCry 與所有其他勒索病毒家族偵測數量逐月比較 (2019 上半年)。

WannaCry 之所以能造成大量感染,其背後的動力就是 EternalBlue 漏洞攻擊手法 (Microsoft 早在 MS17-010 資安公告當中即修補了該漏洞),該手法是由 ShadowBrokers 網路犯罪集團流傳到網路上,但根據許多報導指出,該手法是竊取自美國國安全局 (NSA)。EternalBlue 實際上利用了 CVE-2017-0143 至 CVE-2017-0148 等多項漏洞,這些都是 Microsoft 某些 Windows 版本所使用的 SMBv1 伺服器通訊協定的漏洞。這些漏洞可讓駭客經由發送特製的訊息給受害系統上的 SMBv1 伺服器來觸發,並且可執行任意程式碼。由於 Microsoft SMB 漏洞所影響的產業極廣,從醫療設備到辦公室印表機、儲存裝置等等,因此網路犯罪集團很快就看上 EternalBlue 的價值。再加上許多企業在修補管理方面皆力有未逮,因此還有很多存在著漏洞的系統,所以 EternalBlue 才會至今仍受到歹徒喜愛。

從 2017 年起 EnternalBlue 漏洞攻擊從未間斷過

EternalBlue 漏洞攻擊案例從 2017 年起就從未間斷過。在它開始流傳的幾個星期內就出現了不少使用該手法的惡意程式,除了 WannaCry 之外,還有 UIWIX 無檔案病毒(fileless malware)式勒索病毒、Adylkuzz 挖礦程式,以及 EternalRocks SMB 蠕蟲。到了 2018 年,甚至有更多勒索病毒採用。2019 年更收錄到許多挖礦惡意程式的工具套件當中。有些使用 EternalBlue 的惡意程式都是存在已久的已知威脅,但卻多了一些新的工具和功能。

趨勢科技透過自家的Smart Protection Network™ 全球威脅情報網與可公開取得的一些入侵指標來追蹤使用 EternalBlue 的知名惡意程式,清楚地顯示出這項攻擊手法仍經常被用於攻擊一些至今仍未修補的系統。

2017 年 5 月至 2019 年 9 月,使用 EternalBlue 的知名惡意程式,清楚地顯示出這項攻擊手法仍經常被用於攻擊一些至今仍未修補的系統

漏洞已經修補了兩年多後,EternalBlue 仍舊非常活躍

正如我們所見,即使在漏洞已經修補了兩年多後,EternalBlue 仍舊非常活躍。從Smart Protection Network (SPN) 2017 至 2019 年 9 月的資料即可看出,那些使用 EternalBlue 來攻擊 MS17-010 已修補漏洞的惡意程式從 2017 年便一直活躍至今。此外,我們也發現,即使到了 2019 年,WannaCry 還是所有使用 EternalBlue 攻擊手法的惡意程式當中偵測數量最多的。WannaCry 的偵測數量幾乎是所有其他勒索病毒數量加總的四倍。

各種使用 EternalBlue 攻擊手法的惡意程式樣本在 SPN 的偵測數量 (2017 年 5 月至 2019 年 9 月)。

使用 EternalBlue 攻擊手法的惡意程式每月偵測數量 (2019 年 1 月至 9 月)。

2019 年使用 EternalBlue 攻擊手法的前五大惡意程式 (根據 SPN 的資料)。

企業防範 EternalBlue 最簡單的方法就是 ……

EternalBlue 是駭客大量入侵受害者電腦的一項利器,這就是為何勒索病毒和挖礦程式會這麼喜歡它。勒索病毒散布者對於他們所感染的受害者,向來是偏好數量而非品質,儘管這樣的策略似乎正在轉變。撇開 WannaCry 不談,2019 年,絕大多數使用 EternalBlue 的惡意程式都是虛擬加密貨幣挖礦惡意程式。因此,越多裝置感染,就能帶來越多的運算效能。

企業防範 EternalBlue 最簡單的方法就是確實修補自己的系統。Microsoft 在 2017 年 3 月即針對這項漏洞釋出了修補更新,就在這項漏洞攻擊手法被揭露的幾個星期前。但對企業來說,修補系統有時是一項艱難的工作,因為這很可能會耽誤到業務的營運,而且對大公司或跨國集團而言,這項程序可能需花費很長一段時間。不過這的確有其必要,因為 EternalBlue 目前仍是網路犯罪集團使用非常頻繁的一項工具。

要徹底防範 EternalBlue 攻擊手法,企業可部署能夠偵測並防止惡意程式利用此攻擊手法的資安防護。採用一套完整涵蓋閘道、端點、網路、伺服器等各環節的多層式防護相當重要。趨勢科技以趨勢科技的XGen安全防護技術為基礎的解決方案,如:趨勢科技PC-cillin趨勢科技 Network Defense 網路防禦皆能偵測相關的惡意檔案和網址以保護使用者系統。Smart Protection Network™ 和  Worry-Free Business Security 內建的行為監控功能可額外防護這類威脅,偵測惡意的檔案並攔截所有相關的惡意網址。

針對 EternalBlue 漏洞攻擊手法,趨勢科技 Deep Security 和 Vulnerability Protection 可利用以下 IPS 規則來加以防範:

  • IPS 規則 1008224、1008228、1008225、1008227 – 可防護 MS17-010 所修補的漏洞以及某些特定的 Windows SMB 遠端程式碼執行漏洞。

趨勢科技 Deep Discovery Inspector 客戶可使用以下規則來保護自己:

  • DDI Rule 2383: CVE-2017-0144 – Remote Code Execution – SMB (Request)

趨勢科技 TippingPoint 客戶只要具備以下過濾規則就擁有最新的防護:

  • 過濾規則 5614、27433、27711、27935、27928 – 防護 MS17-010 所修補的漏洞以及某些特定的 Windows SMB 遠端程式碼執行漏洞與攻擊。

原文出處:Putting the Eternal in EternalBlue: Mapping the Use of the Infamous Exploit