新型勒索病毒 WannaCry

快速說明

快速說明這個周末的台灣新聞版面非常熱鬧，新型勒索病毒的出現導致災情四起，諸多客戶爭相詢問病毒的攻擊途徑，以及如何防禦的措施。

對於勒索病毒的認識，經過多年資安產業的努力，一般使用者與企業多有基本認識，也知道應該採取三不一沒有的基本資訊安全概念。也就是不開執行檔，不插入不明隨身碟，不要開啟不明文件的編輯模式，以及沒有防毒軟體就不使用電腦。

唯此次WannaCry 勒索病毒迥異於過去已知勒索病毒攻擊方式，導致大家謹記的基本觀念完全不適用。以下簡單說明為什麼這個病毒造成嚴重災情的原因。

傳統勒索病毒的感染方式

過去的勒索病毒利用辦公室應用程式的漏洞，攻擊記憶體強迫系統下載加密程式，導致最後文件被加密，駭客利用解密的金鑰索取贖金。這些動作的源頭都必須使用者的介入，也就是使用者一開始的開啟Word/Excel/PowerPoint文件，或是開啟PDF，開啟瀏覽器瀏覽網頁等等。

利用使用者開啟文件或檔案的機會，駭客利用Office/Adobe/Browser的程式設計漏洞，塞入惡意程式碼，迫使程式執行惡意動作。換句話說，如果是無人值守的伺服器，一般而言遇到勒索病毒發作的機率較低。相對於個人電腦與筆記型電腦，通常也不應該有使用者在伺服器上開啟文件與網頁。

新型勒索病毒迥異於已知病毒

根據目前所有發現，於5/13全球大流行的 WannaCry勒索病毒並非利用使用者的介入或是辦公室應用程式的漏洞而觸發。

相反地，WannaCry反而是利用微軟作業系統的檔案分享通訊協定 (Sever Message Block, SMB) 的設計缺陷 (CVE-2017-0143, CVE-20170144, CVE-20170145, CVE-20170146, CVE-20170148)，刺探這個漏洞並主動發起攻擊，加密伺服器或是個人電腦上的全部檔案。也就是過去至少還需要使用者發起動作的勒索病毒，現在進化成自己找尋目標，無須使用者動作就可以利用這個大多數電腦都會開啟的服務，刺探漏洞進而破壞檔案。

此次這個SMB漏洞早在三月已經公布，四月的新聞也強調過一次，照理說企業應該有所準備，可是問題還是蔓延的主要原因是：企業不敢及時更新所有公開發行的修正檔 (MS17-010)。

受限於企業開發程式的相容性，一般企業MIS必須等待完整測試之後，才能在內部伺服器與個人電腦上安裝更新程式。也就是這個時間差讓駭客有可趁之機。

新型勒索病毒已經變種

WannaCry的初始型態是PE執行檔 (Portable Executable)，利用 SMB V1.0 的漏洞，滲透企業內網，自主發作。撰稿當下，於5/14晚間十點為止，業已發現98種變形，76種是PE二進位執行檔，其他包含利用文件夾帶的執行碼與巨集 (Macro) 型態的多樣變種。我們已經確認新型變種病毒已經利用 Office 文件格式，準備下一波攻擊。

針對初始型態的PE格式，雖然因為新聞熱度，所以目前許多防毒軟體可以阻擋。但是更兇狠，更難以抵抗的第二波記憶體攻擊才正要開始。而記憶體攻擊也是過往企業最為忽略，也是利用病毒碼資料庫的防毒軟體所難以阻擋的。

如何防範這個新型勒索病毒

撰寫新聞稿的同時，網路與新聞中已經諸多大廠與資訊安全公司廣為發佈各種基本防禦措施，不外乎是立刻更新修正檔以及關閉不必要的服務。

這些雖是老生常談，卻是最基本的工作守則。但是企業運作不比家庭與個人，必須考量多樣限制。針對受限制的企業，數位資安建議採取雙重防禦措施。

首先是採用 Morphisec Moving Target Defense 技術，讓所有刺探程式記憶體的駭客攻擊無效，進一步保護電腦不會下載加密程式。

第二個防禦措施則是 Cb Protection端點保護平台，徹底封鎖所有惡意執行檔的穿透攻擊，保護電腦完全不會執行任何惡意外來程式。

請洽詢數位資安系統取得更多詳細相關說明 (Info@iSecurity.com.tw)。