:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
事件通告
分隔線
WanaCrypt0r 勒索軟體正在全球擴散攻擊中,建議請儘速檢查並安裝修補程式!(2017/05/15)
 
詳細描述:
【WanaCrypt0r 2.0 弱點情報】

根據情報通知,WanaCrypt0r 勒索軟體(Wanna Decryptor, WanaCrypt0r 2.0, WanaCrypt, WCRY)正在全球擴散攻擊中,除應用CVE-2017-0143~0148的SMB遠端連線攻擊方式,更會主動式的搜索內部目前尚未完成更新之windows主機,影響範圍從windows XP 至目前windwos 8 (未完成SMBv1~v3 遠端連線關閉)之主機。攻擊時間從上週五(2017/5/12)至今攻擊已超過10萬次仍未停歇,目前已知已有104國家的主機已經受害,英國地區已有NHS(National Health Service)仍有9成以上的電腦仍使用windows XP,美國的FedEx已被攻擊成功,中國大陸的ATM主機也被攻擊成功,台灣地區更是超過3萬台以上的設備目前仍具有高度威脅可被攻擊成功。

目前已知全球已被攻擊主機數量超過23萬台(intel.malwaretech.com),目前仍有9萬多台仍持續擴散感染中,另外來自FBI的白皮書內容,已開始針對重要Tor主機與IP進行嚴密監控作業。

【影響範圍】

  • Windows 作業系統

【測試方式】

根據HiNet SOC情報人員分析,目前已有下列方式可測試目前是否具有高度受害之可能性:
1. 確認windows 版本之SMB是否開啟與相關windows update 是否已經完成patch 修正,點選WindowsUpdate的檢視更新紀錄,檢查有無對應KB編號。各版本修正檔案如下:
Windows 版本 KB編號
Windows 7, Server 2008 R2 KB4012215
Windows Server 2008 KB4012598
Windows Server 2012 R2 KB4012216
Windows Server 2012 KB4012217
Windows Server 2016 KB4013429
Windows Vista KB4012598
Windows 8.1 KB4012216
Windows 2003 KB4012598
Windows XP KB4012598

2. 透過工具程式進行確認,於Github:https://github.com/countercept/doublepulsar-detection-script,可進行單一電腦或內網電腦掃描,用戶須先安裝python程式進行測試,輸入以下命令:python doublepulsar_smb.py —ip xxx.xxx.xxx.xxx,如測試結果為No presence of DOUBLEPULSAR SMB implant,代表無SMB弱點可被攻擊。
3. 根據HiNet SOC情報搜集,目前有大量可疑IP與DN進行攻擊,用戶可自行評估是否需進行阻擋,或透過防火牆設備關閉port 137,139,445外部連線功能,IP與DN清單如下:
IP DN
96.127.190.2 www.43bwabxrduicndiocpo.net
184.154.48.172 www.dyc5m6xx36kxj.net
108.163.228.172 www.gurj5i6cvyi.net
200.58.103.166 www.bcbnprjwry2.net
216.145.112.183 www.sxdcmua5ae7saa2.net
162.220.58.39 www.rbacrbyq2czpwnl5.net
192.237.153.208 www.fa3e7yyp7slwb2.com
75.126.5.21 www.wwld4ztvwurz4.com
128.31.0.39 www.bqkv73uv72t.com
144.76.92.176 www.xanznp2kq.com
148.244.38.101 www.chy4j2eqieccuk.com
149.202.160.69 www.lkry2vwbd.com
163.172.149.155 www.ju2ymymh4zlsk.com
171.25.193.9 www.graficagbin.com.br
195.22.26.248 www.sdhjjekfp4k.com
197.231.221.221 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
198.96.155.3  
123.61.66.117  
46.101.142.174  
46.101.166.19
62.210.124.124  
91.121.65.179  
91.219.237.229  

4. 目前已有防火牆廠商,IPS廠商已提供防範Pattern阻擋此類攻擊發生,HiNet SOC以整理如下,敬請用戶自行檢查是否已更新到最新版本:
廠牌 Pattern
Palo alto Name: Microsoft Windows SMB Remote Code Execution Vulnerability
Unique id:32424,32494,32427,32393,32716,32422
checkpoint Microsoft Windows EternalBlue SMB Remote Code Execution
sourcefire Snort Rule: 42329-42332, 42340, 41978
Trendmicro Trend Micro Deep Security and Vulnerability Protection
IPS Rules 1008224, 1008228, 1008225, 1008227
Trend Micro TippingPoint Filters 5614, 27433, 27711, 27935, 27928
Forint MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
Emerging Threats alert smb any any -> $HOME_NET any (msg:”ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)”; flow:to_server,established; content:”|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|”; depth:16; fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)
mcafee NETBIOS-SS: Windows SMBv1 identical MID and FID type confusion vulnerability
NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability
NETBIOS-SS: Microsoft Windows SMB Out of bound Write Vulnerability
NETBIOS-SS: Windows SMBv1 information disclosure vulnerability
Symantec System Infected: Ransom.Ransom32 Activity
21179(OS攻擊:的Microsoft Windows SMB遠端執行代碼3)
23737(攻擊:下載的Shellcode活動)
30018(OS攻擊:MSRPC遠端管理接口綁定)
23624(OS攻擊:的Microsoft Windows SMB遠端執行代碼2)
23862(OS攻擊:的Microsoft Windows SMB遠端執行代碼)
30010(OS攻擊:的Microsoft Windows SMB RCE CVE-2017-0144)
22534(系統感染:惡意下載活動9)
23875(OS攻擊:微軟SMB MS17-010披露嘗試)
29064(系統感染:Ransom.Ransom32活動)

【結論】

綜合以上情報分析,建議客戶可採取以下防護措施:
1. 先將網路停用外部連線功能, 管理者至windows AD派送以上之KB修補程式至所有主機進行更新作業。
2. 確認防毒程式,防火牆,IPS等已更新至最新版本病毒碼與偵測程式碼,請參考以上內容。
3. 無中勒索病毒之電腦主機,即刻將重要資料備份,備份資料離線保管。

【參考資料】

【更新紀錄】

  • v1.0 (2017/05/15):發佈事件通告。

 
 
下框