勒索病毒之后445端口开放情况调查分析 – 作者:TideSec

1.1  概述

微软于2017年3月14号发出安全公告《Microsoft 安全公告 MS17-010 – 严重》并提供了响应的解决方案。如果攻击者向 Microsoft 服务器消息块 1.0 (SMBv1) 服务器发送经特殊设计的消息,则其中最严重的漏洞可能允许远程代码执行。

图片.png

稍后,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“ShadowBrokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警。

图片.png

虽然在当时政府和安全机构都在呼吁大家打补丁,但较为遗憾的是大家都没有足够重视这个漏洞的危害,总以为有那么多安全防护设备足以保证不会爆发大规模病毒。然后,勒索病毒WannaCry于5月12日横空出世。

然而新一轮超强勒索病毒Petya冲击了包括俄罗斯、英国、乌克兰等在内的欧洲多个国家,其中乌克兰政府机构遭大规模攻击,乌克兰副总理的电脑也遭受攻击,甚至导致切尔诺贝利核电站因使用微软系统的传感器关闭,被迫人工检测辐射水平。而该病毒利用的仍然是“永恒之蓝”(EternalBlue)漏洞,此漏洞在之前的WannaCry勒索病毒中也被使用,是造成WannaCry全球快速爆发的重要原因之一,此次Petya勒索病毒也借助此漏洞达到了快速传播的目的。

1.2  主机分布情况

虽然WannaCry勒索病毒已经过去,但根据我们的探测和分析,至今互联网上还是有很多存在开放了445端口的主机和服务器仍在运行。

下面两张图可以让大家对其分布和范围有一个直观认识。

图片.png

【全球互联网上开放445端口的主机主要分布】

图片.png

【中国互联网上存在的445端口开放主机】

1、从检测数据来看,教育行业开放445端口的主机最多,其次是政府、金融、互联网、通信等行业。

通过对检测出445端口的服务器和主机逐一探测,去掉一些无法访问的页面后,按照行业进行了分类,其中,教育行业数量最多占23%,其次是政府占19%,金融占17%,互联网占10%,通信行业占3%以及其他行业领域占27%。 

图片.png

2、从地域来看,北、上、广、沿海城市等经济发达地区成为445端口开放集中区域,与此同时修复情况也最及时。

从检测页面的地域分布上看,北京最积极占22%,其次是广东9.8%,浙江8.2%,上海7.8%,福建4.9%。从最终的检测结果来看,这也符合“多检多得”的排序,北京检出445端口开放主机数量最多占23.6%,广东13.7%,浙江10.4%,上海7.9%,福建7.3%。

图片.png

3、从分布上来看,目前开放445端口的主机分布和WannaCry病毒爆发后的分布图也是高度吻合的。

根据网上数据显示,全球范围内的WannaCry勒索病毒爆发后的影响分布图如下。

图片.png

根据某一权威数据显示,国内WannaCry勒索病毒爆发后的影响分布图如下。

图片.png

1.3  几点警示

 旦出了事情就是大问题

WannaCry勒索病毒或许这是新时期网络威胁的一个序曲,随着互联网+时代的来临,应对“WannaCry”式攻击或将成为常态。

近年来,勒索病毒的增长趋势实在令人担忧。据Malwarebytes数据显示,在众多网络攻击当中,勒索软件利用攻击套件的案件占比持续上升。与传统勒索软件的散播途径不同,WannaCry不需通过一对一的形式向每台设备发送恶意邮件附件来散播病毒,只要让病毒感染企业内部任一台联网设备,它即可从公司内网蔓延至局域网内的所有设备。

人们如何才能避免病毒攻击?

面临勒索软件的攻击,首要做的是及时备份资料,对所需要的资料进行定期的完整备份。切记不要将备份资料储存在网络磁盘,因为病毒也能够攻击联网的媒体文件和设备。

其他预防措施包括设置防火墙,检测附件查毒工具和网页过滤等。设置设备的用户权限限制也十分重要,否则恶意软件将夺得主用户的操作权限。启用广告拦截同样有效,因为可以防范某些网站散播带有勒索病毒的恶意广告。但由于勒索病毒目前能够快速篡改硬盘文件,一旦中招,应对方案寥寥可数。

为何黑客指定用比特币作为赎金?

一定程度上,比特币这类的加密数字货币的出现助长了勒索软件的出现。比特币与其他匿名技术的结合,能够几乎完美地隐藏黑客的痕迹。对于想要躲在暗处,销声匿迹的黑客组织来说,这非常有效。所以,这类货币是理想的赎金支付方式。这种具匿名性质的货币对我们社会造成的影响,的确令人深思。

物联网VS勒索软件

试想象在未来,我们的智能家居和其他物联网设备也有可能遭受勒索软件攻击。同样,我们的智能汽车、飞机、卡车、火车也许都会面临遭到勒索的威胁。也许,未来的停车费并不算什么,等着我们的可能是一笔高额的赎金,才能让我们取车离开。因此,我们更因对物联网安全性加以重视,以更充分应对未来的网络安全挑战。

关注我们

对web安全有兴趣的小伙伴可以关注或加入我们,TideSec安全团队:

1551433162_5c78fdca9fae9.jpg

来源:freebuf.com 2019-03-07 17:12:56 by: TideSec

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论