CNNVD公布WannaCry勒索軟件攻擊事件分析報(bào)告

　　國(guó)家信息安全漏洞庫(kù)(CNNVD)是中國(guó)信息安全測(cè)評(píng)中心為切實(shí)履行漏洞分析和風(fēng)險(xiǎn)評(píng)估的職能，負(fù)責(zé)建設(shè)運(yùn)維的國(guó)家信息安全漏洞庫(kù)，為我國(guó)信息安全保障提供基礎(chǔ)服務(wù)。今天，CNNVD公布了WannaCry勒索軟件攻擊事件的分析報(bào)告，報(bào)告分析了網(wǎng)絡(luò)攻擊事件背景、“WannaCry”勒索軟件技術(shù)特點(diǎn)及危害、全球遭受網(wǎng)絡(luò)攻擊總體情況和防范手段。

　　以下為報(bào)告原文：

　　北京時(shí)間2017年5月12日，一款名為“WannaCry”(也稱WannaCrpt、WannaCrpt0r、Wcrypt、WCRY)的勒索軟件在全球范圍內(nèi)爆發(fā)，造成極大影響。針對(duì)本次攻擊事件，國(guó)家信息安全漏洞庫(kù)(CNNVD)進(jìn)行了分析研究，情況如下：

　　一、網(wǎng)絡(luò)攻擊事件背景

　　此次爆發(fā)的“WannaCry”勒索軟件主要借鑒了針對(duì)微軟Windows系統(tǒng)漏洞的利用工具“永恒之藍(lán)”(EternalBlue)進(jìn)行傳播擴(kuò)散。2017年4月14日，黑客組織Shadow Brokers(影子經(jīng)紀(jì)人)公布了黑客組織Equation Group(方程式組織)的部分泄露文件，文件涉及多個(gè)Windows操作系漏洞的遠(yuǎn)程命令執(zhí)行工具，其中即包括“WannaCry”勒索軟件攻擊事件中所涉及的“永恒之藍(lán)”利用工具?！癢annaCry”勒索軟件借助“永恒之藍(lán)”漏洞利用工具，利用Windows操作系統(tǒng)在445端口的安全漏洞(CNNVD-201703-721 ~ CNNVD-201703-726)，潛入電腦對(duì)多種文件類型加密，并彈出勒索框，向用戶索要贖金(以比特幣支付)用于解密。

　　二、“WannaCry”勒索軟件技術(shù)特點(diǎn)及危害

　　(一)攻擊特性

　　爆發(fā)突然。短短一天內(nèi)，在幾乎毫無(wú)任何預(yù)兆的情況下，百余個(gè)國(guó)家和地區(qū)遭受攻擊并呈現(xiàn)蔓延態(tài)勢(shì)。行為惡劣。勒索蠕蟲一旦成功入侵，將加密系統(tǒng)內(nèi)全部文檔，并通過(guò)破壞硬盤快照的方式增加系統(tǒng)恢復(fù)難度，不交付贖金(單機(jī)解密贖金300美元至600美元，一般通過(guò)比特幣支付)無(wú)法解密。自動(dòng)傳播?？衫肳indows平臺(tái)所有版本(winXP、Vista、Win7、Win8、Win2003、Win2008、Win10等)的漏洞進(jìn)行自動(dòng)傳播，未打補(bǔ)丁的機(jī)器極易感染并在內(nèi)外網(wǎng)快速傳播。難以解密。勒索軟件使用AES128加密文件，使用RSA2048公鑰加密AES密鑰。據(jù)目前情況看，基本無(wú)法通過(guò)計(jì)算或碰撞的方式進(jìn)行解密，國(guó)內(nèi)有企業(yè)提出通過(guò)設(shè)法恢復(fù)被刪原文件方式找回原始未加密文件。通信匿名。勒索軟件進(jìn)行攻擊后，會(huì)自動(dòng)釋放Tor網(wǎng)絡(luò)組件，用于解密程序的網(wǎng)絡(luò)通信，贖金使用比特幣支付，使勒索過(guò)程難以追蹤溯源。時(shí)間掐準(zhǔn)。此次攻擊發(fā)生正值周末，據(jù)分析在我國(guó)爆發(fā)時(shí)間應(yīng)為周五下午3點(diǎn)左右，恰逢國(guó)內(nèi)周末時(shí)間。攻擊意外中斷。勒索軟件中預(yù)留了終止機(jī)制，即訪問(wèn)一個(gè)超長(zhǎng)域名成功時(shí)，攻擊傳播就會(huì)停止。美國(guó)洛杉磯威脅情報(bào)公司一名員工注冊(cè)了該域名開(kāi)啟了停止機(jī)制，域名啟用后每秒訪問(wèn)IP過(guò)千。

　　(二)現(xiàn)實(shí)危害

　　文檔損失。遭受攻擊的各類文檔均被加密，無(wú)法訪問(wèn)使用。系統(tǒng)停服。系統(tǒng)會(huì)不斷彈出交付贖金的窗口，無(wú)法正常使用。解密存疑。目前尚無(wú)對(duì)交付贖金進(jìn)行解密操作的分析，不確定是否能夠正常解密。

　　(三)潛在風(fēng)險(xiǎn)

　　內(nèi)網(wǎng)蔓延。尚未出現(xiàn)爆發(fā)大規(guī)模感染的情況，但分析其代碼可知，內(nèi)網(wǎng)蔓延的隱患仍然存在。變種變異。隨著殺毒軟件和安全防護(hù)措施的升級(jí)，“WannaCry”勒索軟件若想避免查殺繼續(xù)存活，或會(huì)改變特征值，而為繼續(xù)感染更多計(jì)算機(jī)，也可能利用新的漏洞進(jìn)行換代升級(jí)。