基于SMB文件共享传播的蠕虫病毒又回归了

lucywang Web安全 2019年3月1日发布
Favorite收藏

导语:网络共享是一种允许用户通过网络共享文件和文件夹的技术。但不幸的是,网络共享一直是计算机蠕虫的热门攻击目标。

如果你是一位长期奋战在网络安全行业的人士,你一定会注意到一种情况:有些攻击是呈周期性的,比如有的恶意软件会通过技术迭代的方式不断地出现,而有些攻击类型和攻击方法虽然已经过时了,但也会借助某些新的载体出现。

以网络共享为例,网络共享是一种允许用户通过网络共享文件和文件夹的技术。但不幸的是,网络共享一直是计算机蠕虫的热门攻击目标。比如2017年5月,在国内外网络中发现爆发基于windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。但近年来,在使用电子邮件和受感染网站的大趋势下,基于SMB文件共享传播的蠕虫病毒的受欢迎程度有所下降。

还记得WannaCry吗?去年,它横扫全球150多个国家,让众多机构、企业、个人设备损失惨重。如今,WannaCry余威犹在,效仿者也层出不穷。

你可能会认为WannaCry已经在技术快速迭代的今天已经成为了古老历史,那就大错特错了。时至今日,WannaCry造成的直接冲击当然已经过去,但这并不意味着帮助它传播的机制可以被忽略,WannaCry已经证明了基于SMB文件共享传播是多么的脆弱。例如,我们的下一代IPS(入侵防御系统)设备使用的多个SMB入侵检测规则经常被更新。这也不足为奇,因为端口445(SMB使用的主要端口)通常是开放的。实际上,在Shodan(一个针对网络设备的搜索引擎)上,只要搜索端口445,就会返回显示超过200万台打开此端口的设备(链接需要登录)。

通过对2018年10月到11月,连续两个月安全监测,我们发现端口上的SMB端口活动出现了一个相当稳定的攻击模式。这表明,有攻击开始经常使用SMB作为攻击媒介。

1.png

当然,值得一提的是我们从2018年11月13日开始看到,基于SMB文件共享传播的蠕虫病毒事件开始飙升。与此同时,思科也发布了一份安全咨询,详细说明了可能通过SMB远程触发的漏洞。虽然我们无法确定这些是否是恶意攻击,但渗透测试人员通过测试还是新发现了漏洞,显而易见,基于SMB文件共享传播的蠕虫病毒又回归了。

SMB的起源历史

从用户的角度来看,网络共享就是以计算机等终端设备为载体,借助互联网这个面向公众的社会性组织,进行信息交流和资源共享,并允许他人去共享自己的劳动果实。你可以访问远程计算机或从远程计算机复制文件,就像它们位于本地计算机上一样。你甚至不需要服务器就可以在计算机之间进行通信,这都得益于这些设备可以直接连接。

2.png

从历史上看,SMB(全称是Server Message Block) 一开始的设计是在NetBIOS协议上运行的(而NetBIOS本身则运行在NetBEUI、IPX/SPX或TCP/IP协议上),Windows 2000引入了SMB直接在TCP/IP上运行的功能。它的流行在很大程度上要归功于微软从上世纪90年代初开始对该协议的采用、实现和投资。在Windows上设置和使用SMB非常简单,只需要很少的配置,就可以用于各种目的。不仅可以共享文件和文件夹,还可以共享打印机和其他设备。

毫无疑问,SMB协议有助于让许多内部网络的性能释放出来。但是,这种易用性却有其非常脆弱的一面:协议几乎不需要身份验证或加密。虽然它的安全性在后来的版本中确实有所改进,但由于向后兼容性,旧版本至今仍占据着大量市场。

由于该协议可以直接连接计算机,因此该协议会自然成为黑客寻求攻击目标的必备途径。而蠕虫病毒就是其中一种常见的攻击手段,蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序或是一套程序,它能传播自身功能的拷贝或自身的某些部分到其他的计算机系统中(通常是经过网络连接)。尽管SMB并不总是攻击者的首选方法,但它却是最简单的方法。然而,随着SMB中一个关键漏洞的出现,情况发生了变化。

3.png

EternalBlue曝光

2017年,Shadow Brokers(影子经纪人)组织把FBI发现的EternalBlue漏洞(利用微软MS17-010漏洞所开发的网络武器。)公开了,后来就有了利用公布的这个漏洞四处横行的WannaCry。EternalBlue这个工具就是利用windows系统的Windows SMB远程执行代码漏洞向Microsoft服务器消息块 (SMBv1) 服务器发送经特殊设计的消息,进行远程代码执行。简而言之,此漏洞为恶意行为者在任何运行SMB1的计算机上安装恶意软件打开了大门。

漏洞的核心位于负责转换SMBv1消息中的FEA(SMBv1标准中定义的Full Extended Attribute)列表块的函数,更具体地说,是转换OS/2和SMBv1的NTV变体的部分。用例本身(在OS/2和NT格式之间进行转换)意味着这是在20世纪90年代写的代码,代码可能会做相当危险的操作,因为这样的转换需要实现消息的复制与重写。

2017年4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了预警。

加图.jpg

2017年5月12日,WannaCry像野火一样蔓延,瞬间破坏了大量的计算机。如果用户启用了SMB1,WannaCry能够在没有用户任何操作的情况下利用它,安装其勒索软件有效载荷,寻找更多启用了SMB1的计算机,并感染它们。

Nyetya

自2017年5月份经历勒索软件WannaCry的大规模爆发后,思科Talos团队又在6月27日发现了最新的勒索软件变种——Nyetya。 Nyetya是通过一个税务软件包更新系统进行部署的,超过80%的乌克兰公司使用该税务软件,安装了超过100万台设备。乌克兰网络警察确认乌克兰有超过2000家公司受到Nyetya影响。

Nyetya除了利用EternalBlue进行传播外,还利用了与SMB相关的另一个漏洞,名为EternalRomance,它对旧版本的Windows破坏了更强。

乍一看,WannaCry和Nyetya看起来很相似:它们都是通过SMB传播,然后对计算机进行加密。但WannaCry本身就是一个勒索软件,而Nyetya则是伪装成勒索软件,它其实是一款数据擦除的恶意软件。

这两个示例显示了使用易受攻击的网络协议是多么的危险,以及修补系统的重要性。然而,即使没有易于滥用的漏洞利用,SMB对攻击者也同样具有吸引力。

虽然SamSam,Bad Rabbit和Olympic Destroyer等威胁会使用不同的工具来访问网络,但一旦进入到计算机内部,它们就会利用SMB来遍历它们。还有一些情况是使用针对SMB共享的暴力攻击实现数据窃取,攻击者使用工具一次又一次地输入共享密码,以期能猜中。

如何预防SMB威胁

WannaCRY事件之后,安全行业普遍认为互联网安全进入了后“永恒之蓝”时代,但有关微软SMB1协议的安全漏洞还没有结束。2017年10月,包括CVE-2017-11781,CVE-2017-11782,CVE-2017-11815,CVE-2017-11780的多个可被远程利用的SMB1漏洞曝光。

那么如何防范与SMB相关的攻击呢?非常简单:就是停止使用它。事实上,截至2018年4月,该协议不再预装在Windows中。

与其通过SMB连接计算机来共享文件,不如使用专用的文件服务器或基于云的服务。配置网络打印机以使用其他协议。如果你无法在你的环境中关闭SMB,请至少确保禁用SMB1。关闭TCP端口445和139,以确保SMB通信仅限于内部网络。除此之外,端口不应该能够通过SMB相互通信。

本文翻译自:https://blogs.cisco.com/security/smb-and-the-return-of-the-worm如若转载,请注明原文地址: https://www.4hou.com/web/16438.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论