欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

上海地区WannaCry蠕虫式勒索软件传播与危害性分析报告

来源:本站整理 作者:佚名 时间:2017-05-22 TAG: 我要投稿


前言
2017年5月12日,一款名位WannaCry(别名,WCRY、WCrypt、WannaCrypt0r)的蠕虫式勒索软件在互联网上广为流传。该勒索程序以Windows用户为目标,成功感染后即对用户计算机中各类文件和数据进行加密,并借由Windows SMB漏洞(CVE-2017-0143,MS17-010),以疯狂的速度蔓延至全球100多个国家,数以万计的企业及用户受到影响,范围覆盖金融、教育、医疗、通信、交通等各个行业领域。
5月12日-15日期间,我们利用大数据分析方法对WannaCry及其变种在全上海的传播和影响范围进行了统计和分析。本报告不仅阐述了WannaCry蠕虫式勒索软件原理,且在大数据的支持下,从感染范围、感染趋势、地理位置分布等角度对WannaCry在上海的影响做了解读。
Key Findings
• 在5月13日Kill Switch域名被注册后,WannaCry在上海地区的扩散量呈螺旋下降趋势;
• 从用户分布属性来看,本次勒索软件事件在上海地区影响到个人用户、基础服务、金融证券、酒店服务、商务服务、信息服务、学校、医疗、制造业等,其中个人用户受影响最大;
• WannaCry在上海地区的波及范围相较以往的恶意程序都更为广泛,但严重性未及预期;
• WannaCry变种蠕虫相较其自身,在上海地区的影响力和传播范围相对有限。
关于Wanna蠕虫式勒索软件
今年4月份, 黑客组织Shadow Brokers(影子经纪人)披露NSA(美国国家安全局)旗下方程式组织开发的漏洞利用工具(Fuzzbunch),其中包括针对Windows系统SMB服务漏洞利用工具“ETERNALBLUE(永恒之蓝)”。WannaCry蠕虫式勒索软件的大规模扩散正是以此工具为基础的。虽然微软早在今年3月份已经针对受支持的Windows系统发布了安全更新,修复了MS17-010漏洞,但仍有大量企业组织和个人在使用旧版本的Windows系统。
所幸当时运营商大网均已对445端口访问进行限制,此举有效控制了Fuzzbunch框架中ETERNALBLUE工具漏洞利用的危害。所以,MS17-010漏洞并未立刻表现出影响力和危害性。
但局域网仍在漏洞及其利用工具的有效射程中。攻击者正是利用普通用户对网络安全的不重视,未及时更新Windows系统补丁,实现了规模化攻击。本次WannaCry蠕虫式勒索软件利用MS17-010漏洞,得以在未打补丁的Windows计算机中,实现大规模迅速传播。 一旦所在组织中一台计算机受攻击,WannaCry蠕虫式勒索软件便会迅速寻找其他有漏洞的计算机并发动攻击,实现了快速传播感染和勒索钱财的目的。
感染WannaCry蠕虫式勒索软件的Windows设备会对系统内的文件进行高强度加密(文件类型包括图片、文档、压缩包、视频、音频等),并向受害者勒索一定金额的比特币换取解密密钥。且安全专家提示,即便真的向勒索软件作者支付赎金也未必能实现数据解锁。

上海地区感染情况
通过检测数据中心所部署采集设备的流量,我们分析了WannaCry蠕虫式勒索软件在上海地区12-15日期间的影响状况:
图表1:上海地区WannaCry蠕虫式勒索软件及其变种的扩散趋势

从上图WannaCry蠕虫式勒索软件及其变种的的扩散趋势来看,从12日至15日,WannaCry的扩展状态呈收敛趋势。从数据走势不难发现,在13日Kill Switch域名“iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”被注册之后,WannaCry的扩散得到显著抑制。
Kill Switch是安全研究人员发现WannaCry蠕虫式勒索软件运行机制的组成部分。该勒索软件在运行之前会首先尝试连接上述域名,连接失败才会执行后续恶意行为;若连接成功则会停止运行。该域名被安全研究人员称为Kill Switch,因此在Kill Switch域名被注册过后,WannaCry的扩散速度便开始逐渐减缓。
另从截取到的十多种WannaCry变种来看,感染量相对较大的仅2个变种,且即便是这2个变种,相较WannaCry自身的影响力也有着较大差距,传播范围相对有限。
图表2:上海WannaCry区域感染情况

图表3:上海感染WannaCry IP在全上海的占比

图表4:不同行业领域受影响占比

具体检测样本情况如下:
• 13日检测样本总数: 7.58亿条
• 14日检测样本总数: 7.65亿条
• 15日检测样本总数: 7.43亿条
从上述图表可见,单从感染基数来看,WannaCry蠕虫式勒索软件的影响力的确相较其他普通恶意程序更为庞大,对企业组织和个人造成的危害也更大,但其影响力未及前期预估。
若从行业维度划分,WannaCry蠕虫式勒索软件在上海波及到的行业包括金融证券、学校、信息服务、制造业、酒店服务、基础服务、商务服务和医疗等。但受影响最大的群体仍然是个人客户——个人客户遭遇WannaCry蠕虫式勒索软件危害传播数量全行业占比超过9成。
WannaCry蠕虫式勒索软件分析

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载