slide 1 slide 2 slide 3

恒安嘉新(北京)科技股份公司成立于 2008 年 8 月,注册资本 7500 万元,我们的愿景是以移动互联网、固网、IDC 以及企业网数据流量为驱动,通过大数据、人工智能、机器学习等核心技术,全天候、全方位地为客户提供云管端一体化的“互联网安全+”解决方案、平台产品和运营服务。我们矢志成为安全、高效、可信赖的国家网络空间安全基础能力的构建者。

公司组织架构完善,设有市场营销中心、解决方案中心、项目交付运维中心、产品研发中心、安全研究中心、应急响应支撑中心等十大中心。在全国31个省、市、自治区设有分公司或办事处,拥有由 500 余名网络与信息安全专业研发、技术与服务人员构成的高质量员工队伍。 公司是国家级高新技术企业,拥有“云-管-端”一体化的解决方案,核心业务定位于移动互联网和互联网网络与信息安全服务、产品和解决方案。公司市场覆盖区域广泛,客户涵盖工信部、网信办、公安部、安全部、军队、电信运营商、广电、银行、金融、能源等领域。 公司依托强大的网络侧资源和“云-管-端”产品体系,为不同行业、不同需求、不同层次的客户提供有针对性的产品、服务和解决方案。在管道侧,拥有完全自主知识产权的智能网络实时流量分析设能够针对互联网(接入网、城域网、骨干网、国际网、IDC)、通信网(2G、3G、4G 分组域及数据域)、广电网、局域网、私有和公有云形成高位、中位、低位监测全覆盖的网络流量采集能力、解析能力和处置能力;

在云侧,拥有大数据平台,能够针对海量数据和文件进行业务建模和数据挖掘,提供高性能的入库能力、查询能力、挖掘能力、研判能力、预测能力、扫描能力和爬虫能力,同时积累了国内最全的IP基础资源库、恶意网址特征库、APP 特征库、协议特征库和漏洞库资源;在终端侧,形成了网络安全、信息安全、网优信令与增值业务产品线,产品范围涵盖移动互联网恶意程序监测系统、木马和僵尸网络监测系统、安全威胁态势感知系统、安全威胁情报平台、网络安全综合管控平台、电信诈骗分析与治理平台、网络优化与信令分析平台、大数据平台、通信卫士 APP 等。

公司是国家计算机网络应急技术处理协调中心的国家级网络安全应急服务支撑单位,同时作为互联网协会反网络病毒联盟 ANVA、国家信息安全漏洞共享平台 CNVD、移动互联网应用自律白名单联盟和国家反钓鱼网站举报受理平台的支撑单位,支持国家移动互联网恶意程序特征库、移动互联网应用自律白名单和国家安全漏洞库的建设。公司是国家计算机病毒防治工程实验室和国家计算机病毒防御工程实验室理事单位,并成立了北京市移动互联网安全态势感知与威胁研判工程实验室,在网络安全研究领域拥有丰富的资源和经验。

养正气,立正见,怀正念,行正道。恒安嘉新将一直秉承“支持国家、助力企业、服务社会、合作创新”的理念,与广大互联网安全企业及客户一道,为创造安全、绿色、公平的网络安全环境而努力。

新闻资讯 更多>>

重磅独家|WannaCry 勒索蠕虫事件 态势感知分析报告

5月12日晚,一款名为“WannaCry”的勒索病毒在全球进行大规模攻击,目前已知有100多个国家和地区受害,包括医疗系统、快递公司、石油石化、学校、银行、警察局等众多行业受到影响,被攻击者被要求支付比特币解锁。我国的教育网络在也成了本轮攻击的重灾区,攻击造成了部分学校教学网络的瘫痪。恒安嘉新安全与应急响应中心(Evercert)将为您揭开本次病毒攻击事件的真相,以及相关防护举措。

一、事件概述

5月12日,全球近百个国家遭到大规模网络攻击,一款名为WCry(WannaCry)的新型勒索软件变体爆炸式在互联网上进行传播。截至目前全球范围在24时内已经有超过100000台设备受到其感染,影响范围覆盖了金融、能源、通信、教育、医疗等行业的系统。

该勒索软件传播载体主要是针对美国国家安全局(NSA)泄露的漏洞利用工具所披露的包括ETERNALBLUE在内多个Windows SMB漏洞利用方式,今年4月,黑客团伙影子经纪人(Shadow Brokers)声称窃取了该漏洞利用程序,并将漏洞利用工具在互联网上进行公开。

尽管微软公司于今年3月已经向Windows用户推送的MS17-010号升级补丁,以修复这些被漏洞利用工具泄露事件披露的漏洞,但全球范围内仍有大量计算机未安装补丁,特别是那些已经超出系统支持周期的Windows主机(Windows XP、Windows2003)。

勒索软件WCryransomware(WNCry,WannaCry,WanaCrypt0r或Wana Decrypt0r)最初于2017年2月初开始显露踪迹,3月份开始活动频繁,但截至到本次事件爆发前,该勒索软件没有再造成全球范围内的网络攻击。

WCry通过用C++编写,并没有尝试隐藏大多数代码。当感染系统时,WCry加密并重命名它所认为的重要文件,为其添加.WNCRY扩展名,之后会在用户系统中弹出赎金窗口,要求支付价值300美元的比特币。

WCry勒索软件作者提供了多达20多种语言,为勒索软件的界面提供本地化支持,包括英语,中文(简体),中文(繁体),克罗地亚语,捷克语,丹麦语,荷兰语,保加利亚语,菲律宾语,芬兰语,法语,德语,希腊语,印尼语,意大利语,日语,韩语,拉脱维亚语,挪威语,波兰语,葡萄牙语,罗马尼亚语,俄语,斯洛伐克语,西班牙语,瑞典语,土耳其语,越南语。

二、影响范围

根据目前各方面披露的信息,全球范围多个国家受到了影响,事件爆发五个小时内,包括美国、俄罗斯、中国以及整个欧洲在内的100多个国家都开始发生感染事件。

在受影响的地区中,江苏、浙江、广东、江西、上海、山东、北京和广西排名前八位。

1.国外受影响的行业

德国某航空公司的候机厅出现了Wannacry蠕虫感染的情况

2.国内受影响的行业

国内多个高校校内网、大型企业内网和政府机构专网中招,文档被加密,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。攻击者称需支付比特币解锁。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区。

包括北京、上海、重庆、成都等多城的部分中石油旗下加油站在昨日0点左右突然断网,而因断网目前无法使用支付宝、微信等联网支付方式,只能使用现金。中石油有关负责人表示,怀疑受到勒索病毒攻击,具体情况还在核查处置中。中石油有关负责人表示,目前公司加油站的加油业务和现金支付业务正常运行,但是第三方支付无法使用,怀疑受到病毒攻击,具体情况还在核查处置中。

三、技术分析

对上面涉及到的文件类型进行分类,主要有以下9个类型:
①Office办公软件常用的文件后缀 (.ppt, .doc, .docx, .xlsx, .sxi)
②较少使用的Office文件格式以及特定国家使用的Office文件格式 (.sxw, .odt, .hwp)
③压缩文件和媒体文件 (.zip, .rar, .tar, .bz2, .mp4, .mkv)
④邮件和邮件数据库文件 (.eml, .msg, .ost, .pst, .edb)
⑤数据库文件 (.sql, .accdb, .mdb, .dbf, .odb, .myd)
⑥开发人员的源代码和项目文件(.php, .java, .cpp, .pas, .asm)
⑦密钥与证书文件 (.key, .pfx, .pem, .p12, .csr, .gpg, .aes)
⑧图像设计软件文件(.vsd, .odg, .raw, .nef, .svg, .psd)
⑨虚拟机软件文件 (.vmx, .vmdk, .vdi)

文件加密后的变化

被感染主机上文件被加密后,文件名将会变成“原始文件名.WNCRY”,且在被加密文件的目录下,留下@Please_Read_Me@.txt文件和@WanaDecryptor@.exe的快捷方式。

每一个文件使用RSA和AES算法进行加密,加密后每一个文件以文本方式打开可看到文件开头有WANACRY!字符串存在。

病毒样本行为特征

1.创建目录和文件

当勒索软件运行后,会在运行勒索软件的当前目录下创建下列相应目录和文件。

勒索软件会在当前目录新创建两个目录,分别为msg和TaskData。

其中msg目录存放着28种不同语言的资源文件,让勒索软件界面可以支持不同语言的选择。

2.创建文件

勒索软件运行后,会在当前目录下创建18个新的文件,文件列表如下图所示。

3. 复制文件

勒索软件首先将u.wnry重命名为@WanaDecryptor@.exe,然后会将@Please_Read_Me@.txt、@WanaDecryptor@.exe复制到受感染机器的桌面以及我的文档目录,再将@Please_Read_Me@.txt、@WanaDecryptor@.exe.lnk复制到每一个目录下。

4.进程创建

从进程行为来看,可以看到勒索软件进行的操作可以分为:
自我保护行为:
通过attrib来修改勒索软件当前所在目录的为隐藏目录,以及通过icacls来为Everyone授予当前所在目录的完全访问权限。
清除痕迹行为:
通过taskdl.exe来删除勒索软件运行时产生的临时文件。
展示行为:
通过@WanaDecryptor@.exe来展示勒索软件的勒索信息以及告警。
勒索软件持久化行为:
通过往注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run来实现自启动。
备份数据清除行为:
通过cmd.exe,wmic.exe,vssadmin.exe来删除系统上所有的卷影副本。以进程树的方式来展示勒索软件的进程创建行为。

5. 网络连接

Wannacry第一次运行时会尝试连接这个域名iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,如果连接成功就立即停止对其他机器的感染和攻击行为,目前美国一家安全公司通过注册该域名来sinkhole勒索软件的流量,新感染的机器上的勒索软件将不再继续传播和感染,但是新的变种可能会很快绕过这个限制。

如上图所示,InternetOpenUrlA用于对http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com进行连接请求,如果InternetOpenUrlA返回值非空,也就是访问成功时,勒索软件不会进行感染而是退出程序;而访问失败时,勒索软件将会进入sub_408090这一个子函数进行感染。

6.病毒传播方式

勒索软件执行后触发了网络流量中针对ms17-010(ETERNALBLUE)攻击的规则,通过捕获发现其使用NSA方程式爆出的漏洞“永恒之蓝”对其他开放445端口的主机系统进行攻击。

该勒索软件会主动攻击其他主机系统,具有典型的蠕虫病毒特征。所谓蠕虫就是利用某个漏洞对其他主机系统发起主动攻击并植入病毒,该病毒会主动对网络中的其他主机发起攻击。如果攻击成功就会继续利用已沦陷主机继续攻击其他网络中的主机,扩大影响范围。

(1)更新微软最新发布的补丁:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
(2) 利用系统防火墙的高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)
(3) 及时备份系统重要文件
(4) 加强网络安全意识,“网络安全就在身边,要时刻提防“:不明链接不要点击,不明文件不要下载,不明邮件不要打开

事件爆发后,很多安全厂商给用户提供了解决措施。但这些措施都相对滞后,对已经中了勒索病毒的用户,安全厂商们集体失语,束手无策……对于更为严重的数据库勒索还没有一个明确的预防措施。迄今为止,没有任何技术能够对已经感染勒索病毒的数据库提出解决方案。

其实,数据库勒索唯一解决措施就是事先预防。

恒安嘉新解决之道

恒安嘉新独有的“全网监测技术”可以形成全国勒索蠕虫的态势感知图谱,在检测域提供发现安全事件的能力;

“溯源功能”能够精准定位病毒的感染源头和扩散路径,在追溯域形成定位安全威胁的能力;

“网安平台”可对各省级重保网站进行提前预警,在预测域储备分析安全威胁的能力;

“IDC管控系统”能够辅助,甚至切断蠕虫传播,在防御域配备处置安全事件的能力

我们正处在一个没有硝烟的战场,它看不见、摸不到,但每天都在发生着激烈的对抗。在这种表面上的平静之中,以窃密、预制为目的的APT攻击、网络战、信息战无时无刻不在激烈上演。这种战役难以感知的特点,导致网络安全未得到有效的投入和重视,也为导致今天的大规模安全灾难形成了必然基础。作为网络安全从业者,我们必须反思,必须突破,只有变被动为主动,发挥自身的预警、检测能力,才有可能维护网络空间的长治久安,营造出一片真正“安全”的净土。

合作伙伴

做您身边的安全服务专家

partner 1
返回顶部