WannaCry - 資安趨勢部落格

即使漏洞修補了兩年, WannaCry 仍是使用EternalBlue 漏洞攻擊手法中,偵測到最多的勒索病毒

2019 年 10 月 23 日2022 年 05 月 30 日趨勢科技 TrendMicro

即使在 EternalBlue(永恆之藍)漏洞已經修補了兩年多後，EternalBlue 仍舊非常活躍。即使到了 2019 年，WannaCry 還是所有使用 EternalBlue 攻擊手法的惡意程式當中偵測數量最多的。它的偵測數量幾乎是所有其他勒索病毒數量加總的四倍。

勒索病毒和挖礦程式的最愛: EternalBlue

2017 年，全球有史以來最嚴重的 WannaCry(想哭)勒索病毒勒索病毒爆發事件，其背後的動力就是 EternalBlue(永恆之藍) 漏洞攻擊手法。直到今天，儘管該手法所利用的漏洞早已修正，還是有很多惡意程式 (從勒索病毒HYPERLINK “https://blog.trendmicro.com.tw/?p=12412” Ransomware到常見的虛擬貨幣貨幣挖礦程式) 還在利用這項漏洞攻擊手法。

「WannaCry」對資安研究人員、企業、甚至是一般網路使用者都是一個耳熟能詳的名字，2017年該勒索病毒爆發的疫情在當時幾乎佔據了全球媒體版面，造成許多跨國企業花費數百萬、數千萬甚至上億美元的成本來進行修復和復原。兩年後的今天，企業依然經常遭到 WannaCry 襲擊。根據趨勢科技 Smart Protection Network™ 的資料，WannaCry 仍是 2019 年偵測數量最多的勒索病毒。事實上，WannaCry 的偵測數量甚至超越所有其他勒索病毒家族偵測數量的總合。

WannaCry 依然占了絕大部分的勒索病毒偵測數量：WannaCry 與所有其他勒索病毒家族偵測數量逐月比較 (2019 上半年)。

WannaCry 之所以能造成大量感染，其背後的動力就是 EternalBlue 漏洞攻擊手法 (Microsoft 早在 MS17-010 資安公告當中即修補了該漏洞)，該手法是由 ShadowBrokers 網路犯罪集團流傳到網路上，但根據許多報導指出，該手法是竊取自美國國安全局 (NSA)。EternalBlue 實際上利用了 CVE-2017-0143 至 CVE-2017-0148 等多項漏洞，這些都是 Microsoft 某些 Windows 版本所使用的 SMBv1 伺服器通訊協定的漏洞。這些漏洞可讓駭客經由發送特製的訊息給受害系統上的 SMBv1 伺服器來觸發，並且可執行任意程式碼。由於 Microsoft SMB 漏洞所影響的產業極廣，從醫療設備到辦公室印表機、儲存裝置等等，因此網路犯罪集團很快就看上 EternalBlue 的價值。再加上許多企業在修補管理方面皆力有未逮，因此還有很多存在著漏洞的系統，所以 EternalBlue 才會至今仍受到歹徒喜愛。

繼續閱讀

什麼是無檔案病毒（Fileless Malware）攻擊?

2018 年 11 月 27 日2018 年 12 月 10 日趨勢科技 TrendMicro

在2017 年有超過100家銀行和金融機構遭受無檔案病毒攻擊感染，影響了40多個國家。The Hacker News指出這種技術在過去並非主流，使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將 Meterpreter載入記憶體而非寫入硬碟，目的是要入侵控制自動提款機的電腦。

雖然這惡意軟體在2016年2月份被發現後就有些停擺，不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導，俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊，讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。

根據 Slate 報導指出，惡意軟體正以前所未有的速度發展著，每分鐘出現四隻新變種。這數字對企業來說已經夠大了，而這還不包括未被發現的威脅。許多攻擊者都開發了自己的技術來躲避常見的安全解決方案，好對受感染電腦造成最大的破壞和獲取更多的資料。

傳統安全軟體已經很努力地在追趕惡意軟體，不過復雜的無檔案病毒為企業帶來了更大的威脅。無檔案病毒在最近常被用來繞過傳統的檔案掃描技術，在受感染電腦內保持隱匿而不被發現。雖然這類病毒不像其他惡意軟體那樣能夠被很好的檢測，但無檔案病毒是企業所必須正視的隱藏性威脅。

一種隱藏的威脅:無檔案病毒（Fileless Malware）

一般的作業系統和應用程式有著許多不同的漏洞，讓攻擊者可以利用來感染電腦並偷走敏感資料。通常被入侵完都還不發覺出現這些安全間隙 – 必須與時間賽跑來修補漏洞並阻止類似情況。無檔案病毒跟其他病毒一樣會利用程序漏洞 – 像是讓瀏覽器執行惡意程式碼、利用Microsoft Word巨集或使用Microsoft PowerShell工具，不一樣的是它會在不被察覺下進行。無檔案病毒透過特製的PowerShell腳本直接寫入電腦記憶體。根據TechRepublic撰稿人Jesus Vigo的說法，一旦取得存取權限，PowerShell會讓系統偷偷執行命令，這命令會根據攻擊者意圖及攻擊計畫時間長短而有所不同。

無檔案病毒被寫入程式碼使其難以偵測。

從正面看，駭客不知道自己有多長時間可以進行攻擊，因為系統可能隨時都會重新啟動而讓攻擊中斷。不過駭客也已經為這些狀況做好準備來確保無檔案病毒不用依賴端點保持連線。駭客會寫入註冊表並設定腳本好在系統重新啟動後執行，確保攻擊能夠繼續。這些能力對沒有為這類複雜性攻擊做好準備的企業構成了極大的威脅。

現在的安全軟體基於惡意軟體特徵碼來偵測攻擊。但因為無檔案病毒沒有感染系統的實體檔案，因此安全軟體不知道該看什麼。此外，這類威脅利用系統本身的命令來執行攻擊，進行網路流量和系統行為監控時可能沒有考慮到這一點。

“這些情況顯示出無檔案病毒有多危險。”

攻擊案例

有許多重大攻擊已經利用無檔案病毒感染進行。這些情況顯示出無檔案病毒的危險程度，卻也提供了組織該注意什麼地方的經驗。

無檔案攻擊讓 8台自動提款機吐鈔 80 萬美金

在2017 年早些時候，有超過100家銀行和金融機構遭受無檔案病毒攻擊感染，影響了40多個國家。The Hacker News指出這種技術在過去並非主流，使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將Meterpreter載入記憶體而非寫入硬碟，目的是要入侵控制自動提款機的電腦。

雖然這惡意軟體在2016年2月份被發現後就有些停擺，不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導，俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊，讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。

這次攻擊可能是用 PowerShell 將 Meterpreter載入記憶體而非寫入硬碟，目的是要入侵控制自動提款機的電腦。

UIWIX 跟隨 WannaCry 的腳步,使用無檔案病毒技術

在WannaCry(想哭)勒索病毒影響數千家企業後不久，其他變種也開始出現模仿。UIWIX勒索病毒使用跟WannaCry一樣的漏洞攻擊，不過還加上了無檔案病毒技術。根據趨勢科技的報告，如果UIWIX偵測到虛擬機或沙箱就會自行終止，從而避免被偵測和分析。這變種相當難被停止及從受感染系統移除，而且會使用兩種演算法進行加密。

幸運的是，有一種方法可以阻止這隻惡意軟體影響你的系統。當 WannaCry(想哭)勒索病毒出現之後，就釋出了重大修補程式來解決此漏洞。企業系統只要可以更新必要的修補程式就能夠對抗利用此安全漏洞的UIWIX及類似威脅。儘管進行改變可能需要一些時間，但確保系統受到保護還是值得的。

偵測隱形風險

要跟上不斷變化的威脅形勢並應對如無檔案病毒這樣的複雜性病毒對許多企業來說都是件令人頭大的事情。但是管理者可以採取一些措施來保護自己免於隱形風險的威脅，並且更好地偵測這些躲避技術。趨勢科技建議要部署最新的修補程式，採用最低權限原則並啟用客製化沙箱。企業還應該要採用最佳實作來防護和使用PowerShell，檢查系統內的可疑或惡意行為。IT部門還應考慮設定監視規則來偵測可能用於惡意PowerShell腳本內的命令。監控系統行為、防護可能的進入點及停用不必要組件對於防止無檔案病毒感染都相當重要。

無檔案病毒提醒了我們網路威脅的發展方向，日益複雜的新病毒及企業該如何做好應對這些風險的準備。了解這些技術可以幫助管理者了解要檢視的目標及如何保護好自身安全。想了解更多關於無檔案病毒及如何保護企業的資訊，請立即聯繫趨勢科技

@原文出處：Fileless Malware: A Hidden Threat

資安攻擊為何一再發生? 剖析四個”過於暴露”的案例

2018 年 01 月 03 日2018 年 01 月 09 日趨勢科技 TrendMicro

趨勢科技資深威脅研究員Natasha Hellberg常被問到:”為什麼不關注在複雜的攻擊上？為什麼新漏洞出現時沒有發表深入地探討？”對此他的回答是“ 因為舊的攻擊仍然造成較大的傷害“。

我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”

如果我們不花時間來建立良好的網路習慣，不管是組織或個人，就會讓攻擊可以很容易的一再發生。

作者：Natasha Hellberg（趨勢科技資深威脅研究員）

我們有著撥接上網時代跟1983年電影” 戰爭遊戲(Wargames)”上映時就已經出現的協定和電腦程式碼，它們進入了更新的技術，然後包含在其他的技術中，我們不曾回頭去檢視這些舊協定跟程式碼有多脆弱，因為“我們一直在用它們，什麼事都沒有發生，所以我們一定是安全的”。

聽起來有點熟？我們總是拿到新東西就直接安裝，完全沒想到會有何風險。然而令人憂心的是,我們因為缺乏時間、缺乏資源、人力有限，就會有越多這樣的事情發生。

大部分人沒有想到的關鍵重點是暴露在網路上的設備,代表可以被攻擊的潛在目標。如果我們幸運，這些設備有加以防護，可以去面對駭客所進行的漏洞攻擊或暴力破解。但不幸的是，根據趨勢科技FTR團隊所做的研究，有幾十萬放在網際網路上的設備帶有漏洞（就是說可以被入侵）或完全沒有任何安全防護。

現在讓我們來進一步談談以下四個例子:

勒索病毒/Wannacry 類型攻擊 – 針對網路分享的攻擊。
資料外洩 – 通常的是人為疏忽造成的,並不需駭客介入。
設備/網頁竄改（defacement） – 不設防的網站就像敞開的大門, 駭客不需要大費周章入侵,就可以很輕易修改網站的內容。
DDoS殭屍網路和攻擊激增工具（Booter） – 系統和設備漏洞成為攻擊他人的跳板

繼續閱讀

勒索病毒成為一般商品!只要 50 美元，就能取得 WannaCry 勒索病毒的終生授權

2017 年 10 月 12 日2017 年 10 月 12 日趨勢科技 TrendMicro

任何人，據稱只要 50 美元，就能取得WannaCry(想哭)勒索病毒的終生授權，而且可以無限升級。今年 5 月 14 日，我們在阿拉伯文地下網站上看到這則廣告，就在 WannaCry 勒索病毒大爆發之後的兩天。這項在全球造成慘重災情的威脅，搖身一變成了一般性商品，只要有心，任何人都能拿它來建立自己的網路犯罪事業。

WannaCry 勒索病毒在地下市場上販售

此外，WannaCry 的價格也相對低廉，這反映出中東與北非地下市場重視兄弟情誼的獨特一面。有別於俄羅斯和北美地下市場上的犯罪分子大多以賺錢為主要目的，中東與北非的地下市場是一個文化、意識形態及網路犯罪的大融合。各式各樣的惡意程式在這裡幾乎是免費贈送，例如：遠端存取木馬程式 (RAT)、鍵盤側錄程式、SQL 資料隱碼攻擊工具、垃圾郵件散發工具等等。而且，這種兄弟情誼也表現在成員之間共同策畫及執行分散式阻斷服務 (DDoS) 攻擊與網站入侵詆毀行動當中。

圖 1：WannaCry 勒索病毒在中東與北非地下市場上的廣告。

該市場當然也販售著其他勒索病毒。事實上，我們曾在土耳其地下市場上看到一個化名為「Fizik」的俄羅斯網路犯罪分子在兜售 CTB-Locker 勒索病毒 (亦稱為 Critroni 或 Curve-Tor-Bitcoin)。值得注意的是，同一廣告也曾出現在 Fizik 自 2006 年起就相當活躍的俄羅斯地下市場上。繼續閱讀

《勒索病毒警訊》Petya 大規模爆發中,鎖定EternalBlue”永恆之藍”漏洞,三步驟防範感染

2017 年 06 月 28 日2017 年 06 月 30 日趨勢科技 TrendMicro

有一波大規模的 Petya 勒索病毒變種四處肆虐當中，目前傳出的災情以歐洲最為嚴重。趨勢科技已將此變種命名為 RANSOM_PETYA.SMA，相比五月造成全球大恐慌的WannaCry勒索病毒，Petya 散播的管道主要有兩種：其一為同樣利用透過微軟的安全性弱點：MS17-010 – Eternalblue 針對企業及消費者進行勒索攻擊，而與上次WannaCry不同的是，本次 Petya入侵電腦後，會修改電腦硬碟中的主要開機磁區(Master Boot Record, MBR) 設定，並建立排程工作於一小時內重新開機，一旦受害者重開機後其電腦螢幕將直接跳出勒索訊息視窗，無法進行其他操作。

去年趨勢科技資安部落格曾經介紹過Petya 勒索病毒修改主要開機磁區 (MBR) 讓電腦無法正常開機 ,Dropbox 成為駭客入侵管道!該惡意程式透過發散布一封看似要應徵某項工作的電子郵件散播,受害電腦會出現藍色當機畫面，一旦電腦重新開機時會顯示骷髏頭畫面勒索訊息。這次爆發的變種讓歐洲國家重災區，報導指出多家運營商、石油公司、零售商、機場、ATM機等企業和公共設施已大量淪陷。

另一個值得注意的攻擊管道為其駭客利用微軟官方的 PsExec 遠端執行工具，以「進階持續性滲透攻擊」（Advanced Persistent Threat，APT攻擊）手法入侵企業，一旦入侵成功，將可潛伏於企業內部網路中並感染控制企業內部重要伺服器，進一步發動勒索病毒攻擊，對企業內部機密資料進行加密勒索，以達到牟利之目的。

趨勢科技建議一般使用者和企業機構應採取以下三個防範措施來避免感染：

套用 MS17-010 修補更新
無論是企業用戶或是消費者，都建議安裝更新電腦作業系統最新的修補程式，尤其是跟安全性弱點MS17-010 EternalBlue 相關的安全性修補程式，此外也可透過 GPO 或是微軟官方的說明停用此類含有漏洞的 Windows Server Message Block (SMB) ，正確配置SMB服務才能免於受到此次攻擊影響。
停用 TCP 連接埠 445 ( 請參考)
企業用戶應嚴格管制擁有系統管理權限的使用者群組

此外，趨勢科技 XGen™ 防護當中的預測式機器學習以及其他勒索病毒相關防護功能，目前已可防止這項威脅並保護客戶安全。我們將繼續深入分析這項威脅，一有最新情況就會立即更新訊息。

感染過程

前面提到，該勒索病毒會經由 Microsoft 官方提供的 PsExec 遠端執行工具來進入電腦系統。並且還會搭配 EternalBlue 這個之前 WannaCry(想哭)勒索蠕蟲也用過的漏洞攻擊套件來攻擊 Server Message Block (SMB) v1 漏洞。 Petya 變種一旦進入系統，就會利用 rundll32.exe 來執行其程式碼。其檔案加密程式碼是放在 Windows 資料夾底下一個名為「perfc.dat 」的檔案內。

接下來，勒索病毒會新增一個排程工作，讓系統至少在一個小時之後就會重新啟動，並且修改硬碟的主要開機磁區 (MBR) 以便在重新開機之後執行其加密程式碼並顯示勒索訊息。一開始，病毒會先顯示一個假的 CHKDSK 磁碟檢查程式執行畫面，但其實就是病毒程式。有別於一般勒索病毒的作法，該病毒並不會修改被加密檔案的副檔名。它可加密的檔案類型超過 60 多種，但其主要目標為企業環境常用的檔案，至於其他勒索病毒經常針對的影像和視訊檔案則不在此列。繼續閱讀