勒索病毒通过445端口传播 高校感染比例不高
5月一款利用微软Windows操作系统文件共享服务漏洞进行传播的勒索蠕虫病毒(WannaCry蠕虫)开始在网络上大规模传播,病毒感染系统后会对系统上的重要数据进行加密并索取价值300美元以上的比特币。
由于该病毒使用了445 端口SMB协议服务漏洞进行传播,因此在局域网环境(如校园网)中较易扩散。由于国内相关病毒感染的案例报导最早是源自于校园网用户,结果导致大量媒体误读为高校是此次敲诈病毒感染的重灾区。但经我们后期数据统计分析发现,部分高校确实有用户感染的案例的,但是所占比例并不高,完全没有达到重灾区的程度。
大部分学校在校园网边界早就采取的445端口限制措施有效的抑制了蠕虫病毒在高校网络之间的传播,另一方面由于校园网用户使用的操作系统版本及安全配置的水平多样性也在某种程度上限制了蠕虫的传播速度。
此次蠕虫感染重灾区是一些行业内网,因为这些内网因为业务需要通常都使用统一的操作系统及安全配置(一个有漏洞大家都有),一旦病毒通过某些渠道进入内网,几乎能把内网的主机全部都感染。
安全投诉事件统计
5月收到的投诉事件与4月没有太明显的变化,勒索蠕虫病毒应对属于单独的应急处理流程,未统计在投诉事件中。
病毒与木马
WannaCry/Wcry勒索蠕虫病毒所利用的漏洞攻击代码是黑客组织Shadow Brokers(影子经纪人)在今年4月14日披露的Equation Group(方程式组织)使用的黑客工具包中的一个(上月的月报中已经提醒过用户防范这些漏洞),攻击程序名为ETERNALBLUE,国内安全厂商命名为永恒之蓝。
该攻击代码利用了Windows文件共享协议中的一个安全漏洞通过TCP 445端口进行攻击,漏洞影响Windows全线的操作系统,微软在2017年3月的例行补丁(MS17-010)更新中对该漏洞进行了修补,本次由于蠕虫影响的范围较大,微软在蠕虫爆发后临时发布了针对之前不再提供更新支持的系统版本(包括windows xp、windows 8、windows server 2003)补丁。
用户只需安装对应的补丁程序便能防范攻击。对于那些已经被病毒加密的系统文件,部分安全厂商也提供了一些文件恢复的工具,但是由于病毒本身使用的是标准的非对称加密算法,在没有解密密钥的情况要想破解恢复加密文件基本不太可能,所以目前大部分的工具是靠数据恢复的模式来进行文件恢复,而不是直接去解密还原被加密的文件。
近期新增严重漏洞评述
5月需要关注的漏洞有如下这些:
1、 微软5月的安全更新涉及的系统及软件为:Internet Explorer、Microsoft Edge、Microsoft Windows、Microsoft Office and Microsoft Office Services and Web Apps、NET Framework、Adobe Flash Player、Microsoft Malware Protection Engine。需要特别关注的是 Malware Protection Engine的漏洞,该软件是微软系统自带的反病毒程序,内置于Win7以上版本的系统中,攻击者如果构造恶意的程序,可能诱发反病毒引擎的错误从而在系统上执行任意命令。由于微软改变了补丁更新的模式,我们暂时无法知道漏洞更多的具体细节,也无法获得单独的补丁程序,用户只能够使用Windows系统自带的更新服务进行更新。
2、Joomla!是一套基于PHP的开源内容管理系统(CMS)。可用于搭建网站、个人博客、信息管理系统、Web服务等,高校网络中有很多信息系统是基于该内容管理系统进行二次开发的。Joomla! 3.7.0版本中存在一个SQL注入漏洞,攻击者利用该漏洞无需任何身份认证即可获得数据库中的敏感信息。不过由于3.7.0是Joomla!比较新的版本,之前的版本中并不存在该漏洞,因此如果您的信息系统是近期开发或是升级过的Joomla!就需要特别关注了。目前厂商已经在Joomla!3.7.1版本中修复了此漏洞,建议相关的管理员尽快升级自己的Joomla!版本。
3、 linux系统下的Samba软件(3.5.0及3.5.0和4.6.4之间的任意版本)存在远程代码执行漏洞,当linux系统启用了smb服务,并且允许用户向目录上传文件时,攻击者可以上传恶意的共享库文件,触发漏洞使 Samba 服务端加载并执行该共享库,从而以smb服务的权限(一般是root)远程执行任意代码。目前厂商已经在新版本(4.5.10、4.4.14、4.6.4)的samba软件中修补了该漏洞,使用linux下的smb服务的用户需要尽快更新自己的samba软件版本。Samba软件是提供文件共享服务的,与之前勒索蠕虫病毒所利用的windows文件共享服务漏洞类似,但该漏洞利用时需要多个前置条件,不太适合用来大规模传播蠕虫,很难出现通用的攻击代码。但是漏洞依然可以用来攻击并控制存在相关漏洞的linux服务器,那些使用了Samba作为文件共享服务的系统管理员需要尽快升级系统的Samba软件到最新版本。
安全提示
针对永恒之蓝漏洞,我们对部分学校里存在漏洞的主机进行了统计分析,发现除了还在使用的Win xp系统外,还有很大一部分是Win7系统。这说明不及时安装安装补丁程序的系统依然大量存在。
Win7以上版本的Windows系统的自动更新是默认开启的,那些被刻意关闭了自动更新功能的系统多半都是盗版的操作系统。这些盗版的操作系统因为无法及时安装补丁更新可能给校园网带来安全风险,学校需要对这类系统进行监管防范,条件允许的情况下应该使用正版的操作系统进行替代,即使暂时无法全部正版化也需要提供一些临时的补丁更新措施,如校内搭建的WSUS服务或是一些第三方软件提供的更新服务。