ann


[返回上一頁]  [回首頁]
單位PH302主機房管理室 發公告者PH302來源2001:288:500b:9::137..?.?
標題《實驗室公告》勒索軟體正在全球擴散攻擊中,請儘速檢查您的Windows裝置並安裝修補程式 相關網址人氣1081
時間2017-05-17 01:45:05 (最新編修時間 2017-05-20 02:49:34)相關附件管理刪除 編修

【勒索軟體弱點情報】
根據情報通知,WanaCrypt0r系列勒索軟體(Wanna Decryptor, WanaCrypt0r 2.0,WanaCrypt0r 3.0, WanaCrypt, WCRY)以及Jaff勒索軟體正在全球擴散攻擊中,除應用CVE-2017-0143~0148的SMB遠端連線攻擊方式,更會主動式的搜索內部目前尚未完成更新之Windows主機,影響範圍從Windows XP 至目前Windwos 10 (未完成SMBv1~v3 遠端連線關閉)之主機。攻擊時間從上週五(2017/5/12)至今攻擊已超過17萬次仍未停歇,目前已知已有104國家的主機已經受害,英國地區已有NHS(National Health Service)仍有9成以上的電腦仍使用Windows XP,美國的FedEx已被攻擊成功,中國大陸的ATM主機也被攻擊成功,台灣的學校、台電、台中就業服務站也被攻擊成功,台灣地區更是超過8千台以上的設備目前仍具有高度威脅可被攻擊成功。
目前已知全球已被攻擊主機數量超過29萬台(intel.malwaretech.com),目前仍有800多台仍持續擴散感染中,另外來自FBI的白皮書內容,已開始針對重要Tor主機與IP進行嚴密監控作業。
【影響範圍】
•Windows 作業系統
【漏洞測試方式】
根據主機房資安人員分析,目前已有下列方式可測試目前是否具有高度受害之可能性:
1. 確認Windows 版本之SMB是否開啟與相關Windows Update 是否已經完成Patch 修正,點選WindowsUpdate的檢視更新紀錄,檢查有無對應的KB編號。各版本五月份的最新修正檔案如下:
Windows 版本KB編號發佈日期
Windows 10 1703KB40168712017/5/5
Windows 10 1607,Server 2016KB40194722017/5/9
Windows 10 1511KB40208212017/5/5
Windows 10KB40194742017/5/5
Windows 8.1, Server 2012 R2 KB40192152017/5/5
Windows Server 2012KB40192182017/5/15
Windows 7, Server 2008 R2KB40192652017/5/15
Windows XP,Vista,8, Server 2003/2008KB40125982017/5/13
2. 透過工具程式進行確認,於Github,可進行單一電腦或內網電腦掃描,須先安裝python程式進行測試,輸入以下命令:python doublepulsar_smb.py —ip xxx.xxx.xxx.xxx,如測試結果為No presence of DOUBLEPULSAR SMB implant,代表無SMB弱點可被攻擊。
3. 根據主機房情報搜集,目前有大量可疑IP與DN進行攻擊,透過網路設備或防火牆關閉TCP Port 137,139,445,UDP Port 137,138外部連線功能,IP與DN清單如下:
IP DN
96.127.190.2 www.43bwabxrduicndiocpo.net
184.154.48.172 www.dyc5m6xx36kxj.net
108.163.228.172 www.gurj5i6cvyi.net
200.58.103.166 www.bcbnprjwry2.net
216.145.112.183 www.sxdcmua5ae7saa2.net
162.220.58.39 www.rbacrbyq2czpwnl5.net
192.237.153.208 www.fa3e7yyp7slwb2.com
75.126.5.21 www.wwld4ztvwurz4.com
128.31.0.39 www.bqkv73uv72t.com
144.76.92.176 www.xanznp2kq.com
148.244.38.101 www.chy4j2eqieccuk.com
149.202.160.69 www.lkry2vwbd.com
163.172.149.155 www.ju2ymymh4zlsk.com
171.25.193.9 www.graficagbin.com.br
195.22.26.248 www.sdhjjekfp4k.com
197.231.221.221 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
198.96.155.3
123.61.66.117
46.101.142.174
46.101.166.19
62.210.124.124
91.121.65.179
91.219.237.229
188.166.23.127
193.23.244.244
2.3.69.209
146.0.32.144
50.7.161.218
217.79.179.77
128.31.0.39
213.61.66.116
212.47.232.237
81.30.158.223
79.172.193.32
89.45.235.21
38.229.72.16
188.138.33.220
154.35.175.225
86.59.21.38
51.254.101.242
81.7.10.93
171.25.193.77
199.254.238.52
212.47.230.49
37.187.22.87
51.254.246.203
85.235.250.88
108.165.22.125
27.254.44.204
4. 目前已有防毒軟體、防火牆廠商、IPS廠商已提供防範Pattern阻擋此類攻擊發生,整理如下,敬請各管理員檢查是否已更新到最新版本:
廠牌 Pattern
Palo Alto Name: Microsoft Windows SMB Remote Code Execution Vulnerability
Unique id:32424,32494,32427,32393,32716,32422
Check Point Microsoft Windows EternalBlue SMB Remote Code Execution
Sourcefire Snort Rule: 42329-42332, 42340, 41978
Trend Micro Cloud Edge
IPS Rules 1133635, 1133636, 1133637, 1133638
Trend Micro Deep Security and Vulnerability Protection
IPS Rules 1008224, 1008228, 1008225, 1008227
TippingPoint Filters 5614, 27433, 27711, 27935, 27928
Forinet MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution
Emerging Threats alert smb any any -> $HOME_NET any (msg:”ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)”; flow:to_server,established; content:”|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|”; depth:16; fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)
McAfee NETBIOS-SS: Windows SMBv1 identical MID and FID type confusion vulnerability
NETBIOS-SS: Windows SMB Remote Code Execution Vulnerability
NETBIOS-SS: Microsoft Windows SMB Out of bound Write Vulnerability
NETBIOS-SS: Windows SMBv1 information disclosure vulnerability
【結論】
綜合以上情報分析,建議可採取以下防護措施:
1.先將網路停用外部SMB連線功能,管理者至Windows AD派送以上之KB修補程式至所有主機進行更新作業。
2.確認防毒程式、防火牆、IPS等已開啟防護並更新至最新版本病毒碼與偵測程式碼。

3.無中勒索病毒之電腦主機,即刻將重要資料備份三份並將備份資料離線保管。
4.已中勒索病毒之電腦,請立即斷網並評估是否需要救該電腦之資料,如需要請勿移動任何檔案之路徑,以免路徑錯誤無法解密,如不需要可直接格式化後重裝作業系統。
5.提醒您時常更新作業系統及應用程式是非常重要的(包含手機、平板、路由器、分享器...等各式連網裝置)。
【參考資料】
HiNetSOC(2016/04/27)
TrendMicro (2017/05/13)
Malwarebytes(2017/05/13)
Microsoft(2017/03/01)
Microsoft(2017/05/14)
piyolog(2017/05/13)
peerlyst(2017/05/14)
GitHub(2017/04/27)
iThome(2017/05/14)
MalwareTech(2017/05/13)
Talos(2017/05/12)
【更新紀錄】
•v1.0 (2017/05/15):發佈事件通告。
•v2.0 (2017/05/17):更新Tor主機資訊及KB更新版本。
•v3.0 (2017/05/19):更新Jaff勒索軟體及Tor主機資訊。
==================================================
靜宜大學●資訊學院●主機房 System Maintenance Lab,College of Computing and Informatics,Providence University
主機房最新消息公告News Bulletin:ann公告系統
主機房服務簡介與申請表下載Service Introduction and Application Form:主機房
問題回報系統Problem Report System:support問題回報
問題回報系統使用教學Problem Report System Tutorial:support使用教學
Tel:04-26328001 ext.18005
E-mail: ph302@cs.pu.edu.tw
Facebook:靜宜大學資訊學院主機房
Providence University Network Question Facebook Societies:靜宜大學網路問題反映
地址:43301台中市沙鹿區台灣大道七段200號 主顧樓302主機房管理室(Room 302, Providence Hall,200, Sec. 7, Taiwan Boulevard, Shalu Dist., Taichung City 43301 Taiwan)
==================================================

 
★相關網址1:Microsoft資訊安全公告MS17-010-重大

[返回上一頁]  [回首頁]
系統維護單位:靜宜大學資訊學院主機房
單位電話:04-26328001 轉 18005