揭开WannaCry真面目 不惜一切保客户

  【IT168 评论】2017年5月16日,中国计算机学会CCF举行“勒索病毒:凭什么能绑架我们的系统?”特别技术论坛,绿盟科技高级安全专家应邀出席,发表题为“WannaCry勒索蠕虫技术分析” 的演讲,汇报近期研究成果。正是基于这些研究,绿盟科技得以携手客户,有效应对勒索病毒的攻击。

揭开WannaCry真面目 不惜一切保客户

  12日晚,全球爆发大规模勒索软件(WannaCry)感染事件,NTI威胁情报中心第一时间截获可疑攻击,并展开深入分析,但其背后的攻击者及目的一直没有浮出水面。在后续的回溯分析过程中发现,WannaCry其实早在2月份就已经出现,但并未引起业界的重视。在随后一段时间,攻击者利用企业在漏洞修补方面的时间延后,及方程式泄露的EternalBlue漏洞,进行自我升级,最终形成了大规模爆发。

  1.2017.2月 WannaCry 1.0被发现,未引起重视

  2.2017.3.14 微软MS17-010修复6个SMB漏洞

  3.2017.4.14 EternalBlue利用代码泄漏

  4.2017.5.12 WannaCry 2.0 勒索蠕虫出现

  5.2017.5.12 MalwareTech注册了开关域名,蠕虫传播速度变缓

  6.2017.5.14 有2个二进制patch的变种出现

  目前截止5月16日12时,攻击者比特币账户共计收到237笔转账,约合人民币41万余元。下图展示了近期受害者转账情况。

揭开WannaCry真面目 不惜一切保客户

揭开WannaCry真面目 不惜一切保客户

  对于这些情况,绿盟科技安全专家在此次论坛上,对攻击者利用漏洞、工具及安装的DOUBLEPLUSAR后门,进行了深入讲解,并结合这些信息,展示了WannaCry勒索病毒的攻击原理及过程。这些研究成果表明,绿盟科技已经掌握了WannaCry勒索病毒的TTP(策略、技术与过程),形成可用的威胁情报,并基于NTI威胁情报中心不断追踪监测后续可能的变种,以及WannaCry攻击态势。

  绿盟科技通过威胁情报监测,截获WannaCry2.0勒索病毒两个变种,经过对比分析,发现没有本质变化,绿盟科技的防护措施持续有效。近期的分析,请参看《Wannacry勒索软件溯源分析》报告。

揭开WannaCry真面目 不惜一切保客户

1.0 Wcry                2.0 WannaCry的u.wnry

  WannaCry勒索病毒来势汹汹 但绿盟科技是有备而来

  13日凌晨打响的战斗,在绿盟科技应急指挥中心的统一指挥下,与各大行业客户携手展开应急响应行动。日夜奋战的目的只有一个,不惜一切代价保障客户业务系统安全。

  1. 5月12日晚间,NTI绿盟威胁情报中心监测到可疑攻击;

  2. 5月13日凌晨,陆续接到来自各地的现场值守工程师的通报,随后截获恶意样本;

  3. 5月13日上午10时,经过梳理确认,预警通告正式发送给各大客户;

  4. 5月13日上午10时,绿盟未知威胁分析系统TAC率先实现WannaCry勒索病毒检测,并随后给出检测报告;

  5. 5月13日上午12时,NIPS/NIDS/NF/RSAS产品防护能力已经确认就绪;

  6. 5月13日下午1时,安全服务团队经过慎重验证,率先发布一键加固脚本,当天持续更新3个版本;

  7. 5月13日下午1时,各地服务团队结合多年服务客户业务的经验,开始实施修补加固动作,协助用户升级产品,安装补丁;

  8. 5月13日下午5时,NTI威胁情报中心发布WannaCry勒索病毒监测及分析报告;

  9. 5月14日,根据威胁情报中心NTI及各地客户反馈的信息,绿盟科技应急指挥中心决定,紧急调配500台入侵防范NIPS和脆弱性评估RSAS设备驰援客户一线,为不具备网络边界防范能力的客户免费提供设备,协助客户完成应急处置,完成“WannaCry”勒索事件处置手册;

  10. 5月15日,持续跟进勒索病毒爆发情况,并出具WannaCry变种样本初步分析报告;

  11. 5月16日,根据样本进行深入研究分析,并出具WannaCry勒索软件溯源分析报告;

  快速响应 得益于成熟的防护方案

  1. 安全运营体系,以安全平台为基础,提供高效的安全保障

  ●TVM威胁漏洞管理平台,协助机构客户实现高效的安全漏洞全生命周期闭环管理,从根本上杜绝利用系统安全漏洞的恶意攻击和恶意代码感染风险。

  BVS安全配置核查系统,协助机构客户制定操作系统的统一安全配置策略基线,并可使用自动化手段对策略配置的落实情况进行检查,督促包括Windows服务器和桌面终端在内的信息资产有效实现最小化的安全策略配置。

  NGSD云安全桌面解决方案,协助机构客户建立云安全桌面机制,更高效地实现终端系统安全策略的统一集中管理,降低分布式桌面系统的整体安全风险。

  2. 安全服务体系,让客户获得专家级安全服务体验

  安全意识培训,在之前Locky勒索软件攻击事件中,绿盟科技已经推出了“钓鱼邮件测试平台”及相关服务;

  应急响应服务,绿盟科技应急响应服务提供高效的信息安全事故响应机制,帮助客户尽快对有重大危害的计算机和网络安全事件作出响应。

发表评论

相关文章