知道创宇实验室跟进解读泄密勒.DG

知道创宇404实验室跟进解读NSA泄密勒索攻击事件

2017年4月14日Shadow Brokers公布的NSA使用的针对Windows系统的多个漏洞及攻击工具包，使用这些漏洞工具包攻击成功后会自动植入代号为Doublepulsar后门，在NSA这次被泄露的文件里有个代号为Eternalblue (永恒之蓝)是本次爆发的勒索病毒使用的漏洞 ，针对这些漏洞微软明确在2017年3月14日就已经发布了对应的MS安全公告及相关补丁，公告显示NSA泄露的漏洞几乎影响到所有Windows版本。

随后知道创宇404安全实验室针对此次NSA泄密的Windows系统的多个漏洞及攻击工具包进行了分析跟进

分析回溯

▲第一轮探测MS漏洞各国排名

2017年4月24日-26日，知道创宇404安全实验室通过ZoomEye络空间搜索引擎针对MS及NSA漏洞利用工具植入的Doublepulsar后门进行了全球第一轮探测。

▲第二轮探测的前后对比情况

2017年5月02日，知道创宇404安全实验室通过ZoomEye络空间搜索引擎针对MS及NSA漏洞利用工具植入的Doublepulsar后门进行了全球第二轮探测。

▲第三轮探测的前后对比情况

2017年5月07日，知道创宇404安全实验室通过ZoomEye络空间搜索引擎针对MS及NSA漏洞利用工具植入的Doublepulsar后门进行了全球第三轮探测。

由此知道创宇404安全实验室历时一个多月的跟进分析最后数据整理为ZoomEye专题页面：上线并发布了详细分析报告。

2017年5月12日，利用Eternalblue (永恒之蓝)漏洞进行攻击的WannaCry(WanaCrypt0r)等蠕虫病毒勒索事件全球全面爆发。知道创宇404安全实验室全面启动蠕虫病毒事件应急跟进

ZoomEye全球公数据报告相关解读

1、存在MS相关漏洞最多前三的国家依此为：美国、俄罗斯、中国。

其中中国各省影响依次为：台湾、香港、山东、北京、甘肃、江苏。

(注：台湾、香港的影响数量远大于大陆其他省份)

2、被NSA泄漏的工具攻击最快、最多的国家为美国，其次是中国。

其中中国各省影响依次为：台湾、香港、北京、广东、山东。

(注 台湾、香港的影响数量远大于大陆其他省份)

3、根据三轮探测数据显示相关应急速度最快最好为美国。

4、中国外暴露影响最大主要集中在台湾和香港，而中国大陆影响相对较小，这跟历史上骨干isp拦截相关端口有关。

▲被植入Doublepulsar后门主机与操作系统关系图

我回来就可以这样讲5、从被植入的NSA后门的主机操作系统统计来看Windows 2008和Windows 7是主要被感染的系统，值得注意的是其中还有不少是用是一个面向小型企业的操作系统Windows Small Business Server 2011、主要用于嵌入式设备Windows Embedded Standard。

\"WannaCry等蠕虫病毒相关解读

此次爆发的病毒结合了暗(Tor)、最新Windows远程攻击漏洞、勒索软件、比特币支付这四大特性。

1、这次病毒完美利用暗及比特币监管空白

，追踪溯源的难度非常大，导致病毒作者可以肆无忌惮得释放传播蠕虫病毒。

2、勒索软件的结合打破了内、隔离络的安全神话。

勒索软件机制通过主动加密、过期删除等破坏手段要挟中招用户主动联系病毒作者支付比特币，从而导致了最新Windows远程攻击漏洞的攻击面扩大，直接威胁到内及隔离络里的主机。虽然从 ZoomEye 跟踪的公数据结果显示漏洞影响逐步减少，另外中国大陆 isp 机制导致外影响面相对较小，但是更大的内及隔离络缺少对应的安全机制，甚至缺少安全补丁更新机制，使得本次蠕虫病毒攻击内、隔离络的事件得以大规模爆发。

3、病毒开始入侵内、隔离络可能的路径?

那么这次爆发病毒是怎么传播到内部、隔离络的呢?可能的方式主要有：

● 外机器中招后传播到内;

● 邮件钓鱼、水坑挂马等攻击方式传播到内;

● 其他类似于分析样本等未注意络隔离等奇葩的方式。

4、勒索病毒加密的文件是否被解密或恢复?

目前分析结果表明勒索病毒加密文件使用了两套密钥，通过本地密钥加密的文件可实现解密，但是通过络密钥加密文件目前还没有解密方法。另外研究表明可以通过传统数据恢复软件等手段针对病毒删除的文件进行部分恢复。

5、通过解析域名的方法实现免疫的方法或者工具是否有效果?

通过分析现有公布worm病毒样本发现的，病毒文件启动会检测这个域名的访问，如果能访问就会无害退出程序，所以基于这个逻辑很多公司推出了对应的免疫程序和方法。所以针对目前感染的病毒样本此法还是有用的，但是这对病毒变种或者利用MS实现的新病毒程序就无法实现免疫了，所以目前最好的方法是使用Windows官方补丁进行修复，值得一提的是微软已对停止安全更新的xp和2003操作系统，但同样紧急发布了漏洞补丁，必要时候先禁用445等相关端口。

6、病毒怎么会感染到铁路、医院、银行、加油站、公路管理等系统或设备?

隔离络或内因素上述已经提过，这里从ZoomEye报告里关于被植入的NSA后门的主机操作系统统计数据来看也可以得到一些另外的结论，这种蠕虫病毒使用的漏洞影响面几乎覆盖了所以我的Windows操作系统版本，其中有不少用于工业控制领域的嵌入式设备的系统 如Windows Embedded Standard。

7、病毒传播方式结合 APT(GPT) 的攻击方式值得研究和深思。

本次WannaCry等勒索蠕虫病毒暴力破坏性的利用，几乎在一天之内就影响全球各个行业、多个国家政府职能相关服务，也直接影响到了人们的日常生活。如果结合 APT(GPT) 的隐蔽性、目的性，攻击可能导致更加可怕的影响。