勒索病毒“永恒之蓝”的防御策略

        1. 事件简介

        勒索病毒存来已久。此类病毒一般先把受感染机器上的重要文件加密,然后删掉原来的文件,这样源文件就无法使用了,之后再向用户勒索比特币,用户付钱后才能恢复原来的文件。黑客为什么要收比特币?那要从比特币自身的匿名性说起,它的特点是加密并分布存储在网络上。一方面,黑客索要比特币能够很好地隐匿身份,不便于警方追踪;另一方面,比特币自诞生以来价格便水涨船高,本周甚至超过1800美元。

        5月13号,在温馨的母亲节即将到来之际,一场迄今为止最大规模的勒索攻击:Wannacry病毒网络攻击,席卷全球。据卡巴斯基统计,在短短地的十几个小时里,全球共有74个国家的至少4.5万电脑中招。而杀毒软件Avast统计的数据更为惊人:病毒已感染全球近100个国家的7.5万台计算机,并仍在迅速蔓延中。国内360安全监测与响应中心对此事件的风险评级为危急。威胁情报中心显示,截至5月13日19:00,国内有28388个机构被感染,其中江苏为受灾最严重地区。图1显示了所影响到的国家和地区,可见此病毒在中国、美国、欧洲、以及日本都是大规模的爆发、无一幸免。


图1. 病毒爆发所影响到的国家和区域

        国内的许多校园网中了比特币勒索病毒,老师们束手无策、根本没有办法。更为严重的是:许多过去认为封闭的安全网络、像公安、石化、银行的内部网络都收到了严重影响(图2、3、4),导致正常业务的终止,造成了巨大的损失。


图2. 某公安内网也被勒索病毒击中


图3. 加油站被击中,停止业务


图4. 受感染的银行取款机、停止业务

        现在的WannaCry攻击似乎利用了代号为“永恒之蓝”(ETERNALBLUE)的漏洞。此漏洞由NSA(美国国家安全局)首先发现。Windows上的445端口是打开的,用以支持共享文件。但Windows的部分版本对这个文件共享协议的实现存在一个缺陷,而NSA的黑客工具正是钻了这个空子使得这家间谍机构的政府黑客可以利用自家开发的软件武器侵入有缺陷Windows计算机中的任何一台。尽管微软在3月份的软件更新版中修复了“永恒之蓝”安全漏洞,但是这方面提供的安全有赖于计算机用户给系统打上最近的补丁,确保版本最新。很显然,与往常一样,许多人并没有安装更新版。之前,只有NSA的敌人才需要担心“永恒之蓝”被用来对付他们。可是去年夏天这个工具被泄露后、让外边的黑客掌握了。NSA对自己的漏洞工具失去控制而被其他黑客掌握的那一刻起,就没有这样的保障了,现在真是人人自危。

        总之,这次勒索病毒的大规模爆发是黑客将美国间谍机构开发的“永恒之蓝”这款黑客工具当作了武器,增强名为WannaCry的勒索软件。利用政府正规军开发的武器打其它的正规军是此次事件的特点。


        2. 暂时防御方法

         最简单的,还是打补丁,这波利用的是MS17-010,补丁下载地址在:【1】。 有兴趣的同学可自行研究,Vista、Win7、Win8.1、Win10、Server2008、Server2012、Server2016无一幸免。另外,由于这次勒索病毒的影响实在太大,微软针对这次攻击,破天荒的发布了XP和03补丁!地址:【2】。

        建议大学、企业、政府等在防火墙上封禁445端口,这样可以阻止病毒的传播。

        还有就是自建DNS服务器来阻止这类病毒的爆发。据英国《卫报》报道,一名“意外的英雄”不经意的发现,大大减少了病毒传播的机会。在信息安全公司Proofpoint的Darien Huss的帮助下,Twitter上自称@malwaretechblog的英国信息安全研究员发现了隐藏在WannaCry中的一个“病毒发作开关”。

        病毒要访问的DNS域名是:
        www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

        这一开关被编码在WannaCry之中。如果域名存在,则病毒传播停止;否者病毒就激活。这名研究员表示:“我发现这个域名没有注册,我的想法是,‘我可以去试试看。’”他花了$10.69注册了这个长域名。上线后,该域名收到了每秒数千次的连接请求。也就是说:每秒钟挽救了数千个受感染的机器。

        Proofpoint的Ryan Kalember表示:这一注册举动获得了此次事件意外的英雄奖。他们没有意识到,这对延缓勒索病毒的传播起到了巨大的作用。注册此域名虽然有点晚,无法给欧洲和亚洲带来太大的帮助,因为在这些地区,许多机构都受到了影响。不过,这给美国用户争取到了时间,使他们可以紧急给系统打补丁,避免感染病毒。


        3. 长期防护

        事后防御是被动的,是否有主动防御的方法呢?从网络安全角度出发,能不能在第一时间捕捉到那个长域名的DNS请求并立刻判断这是个病毒相关的域名呢?

        国际热点是研发基于全流量分析的SIEM(Security Incident and Event Management), 这里面涉及到三大计算机领域的高、精、尖技术:

        • 高性能的DNS协议分析技术:iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea 这个二级域名从DNS报文中分析出来。由于是分析全流量里的DNS请求,在大型数据中心需要有万兆(10G)的网络报文线速处理能力才行。这需要对超级计算机的并行处理技术有深刻地了解。

        • AI自学习技术:在众多的二级域名里,例如:baidu、qq、taobao、360、ctrip等合法的域名里,迅速判断那个长域名是黑客用的,十分可疑。一般来说域名都用有意义的字符串,像Wannacry病毒用的长域名: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea 是一个随机字符串,即字母和数字的随机组合。这类域名是由黑客domain generation algorithms (DGA) 产生的和人类熟悉的普通域名不一样。判断一个域名是否是随机字符串的好方法是使用AI的自学习技术。这需要对各种AI学习算法有深入地了解。

        • 大数据分析技术:一旦发现某个机器发出了非法的DNS请求,要使用大数据分析技术,通过对时间域和网络相关特征的聚合分析和使用复杂的过滤条件快速定位病毒感染的位置和爆发的趋势。这需要对大数据在网络安全领域的建模分析有实战经验。


        南京云利来的iTAP数据分析产品通过对网络长期不间断的全流量分析,可以在万兆(10G)压力下实时地捕捉每一个DNS请求和响应。分析出的DNS元数据包含了各级域名和相关信息,在大数据平台iMAP里有效地保存。通过AI自学习技术对域名的处理能准确地判断哪些域名是可疑的随机字符串。之后在大数据分析平台上结合网络安全领域知识能快速地做宏观诊断和预警,从而提供了一个实时地全方位的DNS安全保护机制。这种基于并行处理、大数据分析和AI自学习技术的平台可以为此类病毒的爆发提供更早的预警,为积极地病毒防御和打补丁争得了宝贵的时间。






        参考文献:

        【1】 https://technet.microsoft.com/zh-cn/library/security/MS17-010
        【2】 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/


© 2013-2019 IDO-NET All rights reserved.