永恆之藍 - 資安趨勢部落格

即使漏洞修補了兩年, WannaCry 仍是使用EternalBlue 漏洞攻擊手法中,偵測到最多的勒索病毒

2019 年 10 月 23 日2022 年 05 月 30 日趨勢科技 TrendMicro

即使在 EternalBlue(永恆之藍)漏洞已經修補了兩年多後，EternalBlue 仍舊非常活躍。即使到了 2019 年，WannaCry 還是所有使用 EternalBlue 攻擊手法的惡意程式當中偵測數量最多的。它的偵測數量幾乎是所有其他勒索病毒數量加總的四倍。

勒索病毒和挖礦程式的最愛: EternalBlue

2017 年，全球有史以來最嚴重的 WannaCry(想哭)勒索病毒勒索病毒爆發事件，其背後的動力就是 EternalBlue(永恆之藍) 漏洞攻擊手法。直到今天，儘管該手法所利用的漏洞早已修正，還是有很多惡意程式 (從勒索病毒HYPERLINK “https://blog.trendmicro.com.tw/?p=12412” Ransomware到常見的虛擬貨幣貨幣挖礦程式) 還在利用這項漏洞攻擊手法。

「WannaCry」對資安研究人員、企業、甚至是一般網路使用者都是一個耳熟能詳的名字，2017年該勒索病毒爆發的疫情在當時幾乎佔據了全球媒體版面，造成許多跨國企業花費數百萬、數千萬甚至上億美元的成本來進行修復和復原。兩年後的今天，企業依然經常遭到 WannaCry 襲擊。根據趨勢科技 Smart Protection Network™ 的資料，WannaCry 仍是 2019 年偵測數量最多的勒索病毒。事實上，WannaCry 的偵測數量甚至超越所有其他勒索病毒家族偵測數量的總合。

WannaCry 依然占了絕大部分的勒索病毒偵測數量：WannaCry 與所有其他勒索病毒家族偵測數量逐月比較 (2019 上半年)。

WannaCry 之所以能造成大量感染，其背後的動力就是 EternalBlue 漏洞攻擊手法 (Microsoft 早在 MS17-010 資安公告當中即修補了該漏洞)，該手法是由 ShadowBrokers 網路犯罪集團流傳到網路上，但根據許多報導指出，該手法是竊取自美國國安全局 (NSA)。EternalBlue 實際上利用了 CVE-2017-0143 至 CVE-2017-0148 等多項漏洞，這些都是 Microsoft 某些 Windows 版本所使用的 SMBv1 伺服器通訊協定的漏洞。這些漏洞可讓駭客經由發送特製的訊息給受害系統上的 SMBv1 伺服器來觸發，並且可執行任意程式碼。由於 Microsoft SMB 漏洞所影響的產業極廣，從醫療設備到辦公室印表機、儲存裝置等等，因此網路犯罪集團很快就看上 EternalBlue 的價值。再加上許多企業在修補管理方面皆力有未逮，因此還有很多存在著漏洞的系統，所以 EternalBlue 才會至今仍受到歹徒喜愛。

繼續閱讀

還在使用老舊軟體和這 61 組弱密碼? 挖礦病毒利用多重攻擊手法自中國擴散至台灣、日本等亞洲企業

2019 年 04 月 16 日2019 年 04 月 16 日趨勢科技 TrendMicro

趨勢科技偵測到一個惡意軟體: Trojan.PS1.LUDICROUZ.A用多種感染方式,擴散門羅幣挖礦程式到更多的系統和伺服器。該挖礦病毒在今年初現身中國，原先的感染方式是用弱密碼及pass-the-hash（傳遞雜湊）技術,還有經由Windows管理工具與公開原始碼進行暴力破解攻擊，。在日本發現的這起新案例會用EternalBlue(永恆之藍) 漏洞攻擊及PowerShell來入侵系統並躲避偵測。

看起來攻擊者正在將此殭屍網路擴展到其他國家；趨勢科技發現在台灣、日本、香港、越南、印度及澳洲都發現了此威脅。

趨勢科技發現這個惡意軟體非常複雜，專門設計成感染更多的電腦，而且可以不會馬上被偵測到。它會利用電腦系統和資料庫的弱密碼，針對企業可能仍在使用的老舊軟體，使用會在記憶體內下載和執行組件的PowerShell腳本，攻擊未修補的漏洞以及使用Windows的啟動資料夾和任務排程進行安裝。

鑑於PowerShell的日漸普及加上有越來越多公開可用的開放程式碼，可以預期會看到更加複雜的惡意軟體。雖然收集系統資訊並送回C&C與直接竊取個人身份資料相比可能顯得微不足道，但系統資訊對機器來說是獨一無二的，可以用來追蹤識別使用者及其活動。

呼籲企業儘早更新系統, 使用複雜密碼, 並應用可以從閘道到端點主動封鎖這些威脅和惡意網址的多層次保護系統。

主要散播方式是利用弱密碼登入連接網路的其他電腦

這個惡意軟體（趨勢科技偵測為Trojan.PS1.LUDICROUZ.A）的主要散播方式是利用弱密碼登入連接網路的其他電腦。它不會直接將自己複製到連接的系統，而是透過遠端命令來變更中毒電腦的防火牆和端口轉發設定，建立排程來下載並執行更新的惡意軟體。下載的PowerShell腳本會執行：

繼續閱讀

駭客利用「永恆之藍」入侵家用網路台灣受攻擊次數連三週高居全球首位！

2018 年 07 月 20 日2018 年 07 月 24 日趨勢科技 TrendMicro

家用連網設備淪為傀儡成共犯台灣等亞洲地區影響最劇網路安全防護刻不容緩

隨著民眾家中連網裝置數的持續增加，資安威脅的風險也日益提升。根據全球網路資安解決方案領導廠商趨勢科技（東京證券交易所股票代碼：4704）最新觀察註一發現，網路駭客利用微軟安全性弱點MS17-010的 EternalBlue(永恆之藍)漏洞攻擊技巧入侵家用網路，全球超過20個國家中經家用網路路由器所受到的入侵次數單週註二就超過519萬次，其中高達七成是連網裝置直接遭受外部攻擊（Inbound Attack），近三成為受駭客操控並對其他裝置發動攻擊（Outbound Attack）的魁儡攻擊模式。其中台灣受影響最劇，不僅受外部攻擊達120萬次，更有許多裝置設備成為駭客的殭屍機器，被利用對外發動攻擊逾32萬次。

包括去年引發全球恐慌的 WannaCry 及 Petya 勒索軟體等都同樣利用知名 Eternalblue （永恆之藍）漏洞發動攻擊，此類型的攻擊可影響使用包含Windows Vista、Windows 7等微軟作業系統的連網智慧裝置，一但裝置受駭，駭客將可遠端控制此受駭裝置對用戶進行勒索或是安裝挖礦軟體成為駭客的挖礦機，甚至進一步擴大攻擊目標，對其他包含桌上型電腦、筆記型電腦，乃至家庭智慧連網裝置如智慧型電視與網路攝影機等發動攻擊，造成使用者資料、通訊與財務威脅。
繼續閱讀

新挖礦攻擊利用 EternalBlue(永恆之藍) 漏洞攻擊技巧,入侵伺服器

2018 年 03 月 19 日2018 年 03 月 19 日趨勢科技 TrendMicro

資安研究人員 Nadav Avital 發現了一個由他命名為「RedisWannaMine」的加密虛擬貨幣挖礦行動，利用知名的 EternalBlue(永恆之藍)漏洞攻擊技巧入侵資料庫和應用程式伺服器。

RedWannaMine 會經由 CVE-2017-9805 這個可讓駭客從遠端執行程式碼的 Apache Struts 漏洞。Apache Struts 是一個用來開發 Java 網站應用程式的開放原始碼應用程式架構，根據研究，全球 Fortune 100 (《財星》百大) 企業當中至少有 65% 都採用這套架構。RedisWannaMine利用此漏洞從遠端執行指令列 (shell) 命令，將加密虛擬貨幣挖礦惡意程式下載至伺服器上。

[資安基礎觀念：加密虛擬貨幣挖礦惡意程式的負面影響]

此外，在追查這項攻擊行動的過程當中，研究人員還發現一個指令列腳本 (shell script)，該腳本用來：

下載加密虛擬貨幣挖礦惡意程式。
利用 Linux 上的 crontab 工作排程器來讓自己在系統上不斷執行。
在感染的系統上建立一個新的 Secure Shell (SSH) 金鑰以便從遠端連線。

繼續閱讀

《勒索病毒警訊》Petya 大規模爆發中,鎖定EternalBlue”永恆之藍”漏洞,三步驟防範感染

2017 年 06 月 28 日2017 年 06 月 30 日趨勢科技 TrendMicro

有一波大規模的 Petya 勒索病毒變種四處肆虐當中，目前傳出的災情以歐洲最為嚴重。趨勢科技已將此變種命名為 RANSOM_PETYA.SMA，相比五月造成全球大恐慌的WannaCry勒索病毒，Petya 散播的管道主要有兩種：其一為同樣利用透過微軟的安全性弱點：MS17-010 – Eternalblue 針對企業及消費者進行勒索攻擊，而與上次WannaCry不同的是，本次 Petya入侵電腦後，會修改電腦硬碟中的主要開機磁區(Master Boot Record, MBR) 設定，並建立排程工作於一小時內重新開機，一旦受害者重開機後其電腦螢幕將直接跳出勒索訊息視窗，無法進行其他操作。

去年趨勢科技資安部落格曾經介紹過Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!該惡意程式透過發散布一封看似要應徵某項工作的電子郵件散播,受害電腦會出現藍色當機畫面，一旦電腦重新開機時會顯示骷髏頭畫面勒索訊息。這次爆發的變種讓歐洲國家重災區，報導指出多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷。

另一個值得注意的攻擊管道為其駭客利用微軟官方的 PsExec 遠端執行工具，以「進階持續性滲透攻擊」（Advanced Persistent Threat，APT攻擊）手法入侵企業，一旦入侵成功，將可潛伏於企業內部網路中並感染控制企業內部重要伺服器，進一步發動勒索病毒攻擊，對企業內部機密資料進行加密勒索，以達到牟利之目的。

趨勢科技建議一般使用者和企業機構應採取以下三個防範措施來避免感染：

套用 MS17-010 修補更新
無論是企業用戶或是消費者，都建議安裝更新電腦作業系統最新的修補程式，尤其是跟安全性弱點MS17-010 EternalBlue 相關的安全性修補程式，此外也可透過 GPO 或是微軟官方的說明停用此類含有漏洞的 Windows Server Message Block (SMB) ，正確配置SMB服務才能免於受到此次攻擊影響。
停用 TCP 連接埠 445 ( 請參考)
企業用戶應嚴格管制擁有系統管理權限的使用者群組

此外，趨勢科技 XGen™ 防護當中的預測式機器學習以及其他勒索病毒相關防護功能，目前已可防止這項威脅並保護客戶安全。我們將繼續深入分析這項威脅，一有最新情況就會立即更新訊息。

感染過程

前面提到，該勒索病毒會經由 Microsoft 官方提供的 PsExec 遠端執行工具來進入電腦系統。並且還會搭配 EternalBlue 這個之前 WannaCry(想哭)勒索蠕蟲也用過的漏洞攻擊套件來攻擊 Server Message Block (SMB) v1 漏洞。 Petya 變種一旦進入系統，就會利用 rundll32.exe 來執行其程式碼。其檔案加密程式碼是放在 Windows 資料夾底下一個名為「perfc.dat 」的檔案內。

接下來，勒索病毒會新增一個排程工作，讓系統至少在一個小時之後就會重新啟動，並且修改硬碟的主要開機磁區 (MBR) 以便在重新開機之後執行其加密程式碼並顯示勒索訊息。一開始，病毒會先顯示一個假的 CHKDSK 磁碟檢查程式執行畫面，但其實就是病毒程式。有別於一般勒索病毒的作法，該病毒並不會修改被加密檔案的副檔名。它可加密的檔案類型超過 60 多種，但其主要目標為企業環境常用的檔案，至於其他勒索病毒經常針對的影像和視訊檔案則不在此列。繼續閱讀