资安业者 SonicWALL 提醒,本次勒索病毒 WannaCry 蔓延全球,是有骇客在攻击工具永恒之蓝(EternalBlue)的基础上所开发的蠕虫病毒,因此预先抵御永恒之蓝,才是防堵的根本之道。
近日一种名为 WannaCry 的电脑勒索病毒正在全球蔓延,包含 150 个国家受到病毒感染,台湾也名列受攻击严重区域。
SonicWALL 表示,“永恒之蓝”是美国国家安全局(NSA)旗下的骇客组织 Equation Group 开发的网络攻击工具,它扫描并利用运行在 TCP 445 连接埠上的 Windows SMB(Server Message Block,服务器讯息区)档共用协议的漏洞,上传勒索软件等恶意程式到 Windows 系统,加密使用者的档案并勒索赎金。
骇客组织 Shadow Broker 入侵 Equation Group 网络,窃取大量网络攻击工具,并把它放到网络上拍卖。为了证明他们拍卖的骇客工具有真实性和有效性,Shadow Broker 在网络公布了他们窃取来的一部分骇客工具,包括永恒之蓝。
SonicWALL 提醒,本次全球爆发的 WannaCry 勒索软件攻击事件,是有骇客在永恒之蓝的基础上所开发的蠕虫病毒;它可以自我复制传播,且该蠕虫病毒扫描网络上存在 SMB 漏洞的 Windows 机器,上传勒索软件到该 Windows 系统,锁定使用者的资料并勒索使用者的金钱,是典型的蠕虫和勒索软件结合体,可以称之为蠕虫勒索病毒。
骇客可利用永恒之蓝工具和 Windows SMB 漏洞上传任何恶意程式,而且不排除勒索软件可透过电子邮件传播。SonicWALL 已经发表数个勒索软件病毒的签名,阻断透过电子邮件或利用 SMB 漏洞上传的勒索软件。
SonicWALL 的安全防御团队,在 4 月 Shadow Broker 把永恒之蓝骇客工具发表到网络上的第一时间,就已进行快速分析和诊断,并于 4 月 20 日更新多个 IPS(入侵防御系统)签名,有效阻断骇客利用永恒之蓝工具及在其基础上开发的蠕虫病毒针对 Windows SMB 漏洞的入侵行为。
资安厂商 Forcepoint 北亚区技术总监庄添发指出,对于社交工程邮件的相关攻击,员工安全意识的提升,以及邮件与上网安全的联防,是最关键的防范措施;多年不见的自我蔓延模式与勒索软件的结合,也同时检验企业内部网络的防御机制。
庄添发说,各机构的安全风险大多源于其单个用户的无意操作,比如点击了恶意连结,或者打开了邮件里的一个恶意档案;此外,这个恶意软件攻击的 MS17-010 漏洞已在近 2 个月前提供了修补程式,各机构的安全能力的差异,就在于是否重视安全问题、是否落实与及时的修补漏洞更新操作系统。
Forcepoint 安全实验室提出三大自保防护措施如下,期望全球机构都能成功防堵所有的勒索软件或变种勒索软件。
第一,确保组织机构内所有 Windows 机器上安装 MS7-010 安全更新。
第二,确保安装 Web 网页和 Email 电子邮件安全解决方案,它们可以在邮件中帮助用户阻止恶意邮件,在 Web 网页使用即时安全检测机制,阻断恶意程式下载并针对夹带于邮件中的恶意网址进行分析防护。
第三,遵从微软发布的指导,在所有 Windows 系统上禁用服务器讯息区版本 1(SMBv1)。
(作者:吴家豪;首图来源:pixabay)
延伸阅读:
- 中小企业上班族自救 : WannaCry 病毒简单隔离法
