new file

Author: 2969192546

archives.html

@@ -78,6 +78,8 @@
         <h1>归档文件列表</h1>
 
         <dl>
+                <dt>2017-05-13 21:56:44</dt>
+                <dd><a href='./security/wannacry.html'>Wannacry(永恒之蓝)勒索蠕虫跟踪分析</a></dd>
                 <dt>2017-05-11 18:42:11</dt>
                 <dd><a href='./security/plcblaster.html'>针对西门子PLC蠕虫的实现</a></dd>
                 <dt>2017-04-08 13:59:25</dt>
@@ -102,6 +104,11 @@ <h1>归档文件列表</h1>
                     <h4><i class="fa fa-home fa-lg"></i><span class="icon-label">近期文章</span></h4>
                 </div>
                     <ul class="list-group" id="recentposts">
+                        <li class="list-group-item">
+                            <a href="./security/wannacry.html">
+                                Wannacry(永恒之蓝)勒索蠕虫跟踪分析
+                            </a>
+                        </li>
                         <li class="list-group-item">
                             <a href="./security/plcblaster.html">
                                 针对西门子PLC蠕虫的实现

category/index.html

@@ -104,11 +104,12 @@ <h4 class="panel-title">
             <div class="panel panel-default">
                 <div class="panel-heading">
                     <h4 class="panel-title">
-                        <a data-toggle="collapse" data-parent="#accordion" href="#collapse-security">security <span class="badge pull-right">2</span></a>
+                        <a data-toggle="collapse" data-parent="#accordion" href="#collapse-security">security <span class="badge pull-right">3</span></a>
                     </h4>
                 </div>
                 <div id="collapse-security" class="panel-collapse collapse">
                     <div class="panel-body">
+                        <p><span class="categories-timestamp"><time datetime="2017-05-13T14:36:00+08:00">2017-05-13 21:56:44</time></span> <a href="../security/wannacry.html">Wannacry(永恒之蓝)勒索蠕虫跟踪分析</a></p>
                         <p><span class="categories-timestamp"><time datetime="2017-05-11T14:36:00+08:00">2017-05-11 18:42:11</time></span> <a href="../security/plcblaster.html">针对西门子PLC蠕虫的实现</a></p>
                         <p><span class="categories-timestamp"><time datetime="2017-04-08T14:36:00+08:00">2017-04-08 13:59:25</time></span> <a href="../security/ClearEnergy.html">工业控制系统ClearEnergy勒索软件攻击</a></p>
                     </div>
@@ -141,6 +142,11 @@ <h4 class="panel-title">
                     <h4><i class="fa fa-home fa-lg"></i><span class="icon-label">近期文章</span></h4>
                 </div>
                     <ul class="list-group" id="recentposts">
+                        <li class="list-group-item">
+                            <a href="../security/wannacry.html">
+                                Wannacry(永恒之蓝)勒索蠕虫跟踪分析
+                            </a>
+                        </li>
                         <li class="list-group-item">
                             <a href="../security/plcblaster.html">
                                 针对西门子PLC蠕虫的实现

category/security.html

@@ -77,6 +77,22 @@
             <article>
 	   <div class="article-list">	
        <div class="panel panel-default">
+           <div class="panel-title"> 
+                <h2>&nbsp&nbsp<a href="../security/wannacry.html">Wannacry(永恒之蓝)勒索蠕虫跟踪分析</a></h2>
+           </div>
+
+           <div class="panel-body">
+                <div class="summary"><h2>一、事件跟踪</h2>
+<p>北京时间2017年5月12日晚间，一款名为Wannacry 的蠕虫勒索软件袭击全球网络，经研究发现这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是相关移动终端，无需用户进行任何操作，只要开机联网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序 ...</p>
+                    <a class="readmore" href="../security/wannacry.html">READ MORE</a>
+                </div>
+           </div>
+        </div>
+		</div>
+            </article>
+            <article>
+	   <div class="article-list">	
+       <div class="panel panel-default">
            <div class="panel-title"> 
                 <h2>&nbsp&nbsp<a href="../security/plcblaster.html">针对西门子PLC蠕虫的实现</a></h2>
            </div>
@@ -119,6 +135,11 @@ <h2>&nbsp&nbsp<a href="../security/ClearEnergy.html">工业控制系统ClearEner
                     <h4><i class="fa fa-home fa-lg"></i><span class="icon-label">近期文章</span></h4>
                 </div>
                     <ul class="list-group" id="recentposts">
+                        <li class="list-group-item">
+                            <a href="../security/wannacry.html">
+                                Wannacry(永恒之蓝)勒索蠕虫跟踪分析
+                            </a>
+                        </li>
                         <li class="list-group-item">
                             <a href="../security/plcblaster.html">
                                 针对西门子PLC蠕虫的实现

feed.xml

@@ -1,5 +1,80 @@
 <?xml version="1.0" encoding="utf-8"?>
-<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>工匠实验室 | 专注于工控安全</title><link>http://icsmaster.com/</link><description></description><atom:link href="http://icsmaster.com/feed.xml" rel="self"></atom:link><lastBuildDate>Thu, 11 May 2017 14:36:00 +0800</lastBuildDate><item><title>针对西门子PLC蠕虫的实现</title><link>http://icsmaster.com/security/plcblaster.html</link><description>&lt;h2&gt;研究背景&lt;/h2&gt;
+<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>工匠实验室 | 专注于工控安全</title><link>http://icsmaster.com/</link><description></description><atom:link href="http://icsmaster.com/feed.xml" rel="self"></atom:link><lastBuildDate>Sat, 13 May 2017 14:36:00 +0800</lastBuildDate><item><title>Wannacry(永恒之蓝)勒索蠕虫跟踪分析</title><link>http://icsmaster.com/security/wannacry.html</link><description>&lt;h2&gt;一、事件跟踪&lt;/h2&gt;
+&lt;p&gt;北京时间2017年5月12日晚间，一款名为Wannacry 的蠕虫勒索软件袭击全球网络，经研究发现这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是相关移动终端，无需用户进行任何操作，只要开机联网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。这被认为是迄今为止最巨大的勒索交费活动，影响到近百个国家上千家企业及公共组织。 该软件被认为是一种蠕虫变种（也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”）。 像其他勒索软件的变种一样，WannaCry也阻止用户访问计算机或文件，要求用户需付费解锁。相关影响截图如下：&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/1.jpg" /&gt;&lt;/p&gt;
+&lt;p&gt;工匠实验室是华创网安旗下的专注于工控安全领域的研究实验室，作为工控安全的守护者，紧急启动应急响应，对事件和病毒进行了相关分析，希望通过微薄之力对网络安全做出贡献。&lt;/p&gt;
+&lt;h2&gt;二、安全态势&lt;/h2&gt;
+&lt;p&gt;全球感染态势图&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/21.jpg" /&gt;&lt;/p&gt;
+&lt;p&gt;感染TOP 20的国家统计&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/22.png" /&gt;&lt;/p&gt;
+&lt;p&gt;初略的统计国内可能存在威胁主机（不包括台湾、香港、澳门）的分布图如下：&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/23.gif" /&gt;&lt;/p&gt;
+&lt;h2&gt;三、病毒样本分析&lt;/h2&gt;
+&lt;p&gt;样本本身会释放之后需要调用的加密文件以及其它的:
+加密密码: WNcry@2ol7&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/31.png" /&gt;&lt;/p&gt;
+&lt;p&gt;文件本身包含的文件如下:&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/32.png" /&gt;&lt;/p&gt;
+&lt;p&gt;当样本运行起来之后,会释放在如下目录:&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/33.png" /&gt;&lt;/p&gt;
+&lt;p&gt;创建并以服务的方式运行:
+"ImagePath=cmd.exe /c "C:\Intel\ykpgmdelqxu787\tasksche.exe"" in key HKEY_LOCAL_MACHINE\system\Curre ntControlSet\Services\ykpgmdelqxu787&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/34.png" /&gt;&lt;/p&gt;
+&lt;p&gt;已注册表的形式创建mssecsvc2.0服务并启动:&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/35.png" /&gt;&lt;/p&gt;
+&lt;p&gt;提权代码:
+icacls . /grant Everyone:F /T /C /Q&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/36.png" /&gt;&lt;/p&gt;
+&lt;p&gt;样本执行之后会访问www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com通过 80端口,开始实现端口扫描并尝试连接:&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/37.png" /&gt;&lt;/p&gt;
+&lt;p&gt;通过cmd启动tasksche.exe进程：
+C:\Intel\ykpgmdelqxu787\tasksche.exe, C:\Intel\ykpgmdelqxu787\tasksche.exe, C:\WINDOWS\system32。&lt;/p&gt;
+&lt;p&gt;tasksche.exe会创建taskdl.exe,attrib.exe子进程调用cscript.exe进程实现加密 ：
+C:\WINDOWS\system32\cscript.exe, cscript.exe //nologo m.vbs, C:\Intel\ykpgmdelqxu787&lt;/p&gt;
+&lt;p&gt;进程关系如下：&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/38.png" /&gt;&lt;/p&gt;
+&lt;p&gt;加密扩展文件如下，可以看出加密的文件中并不是针对工控网络:&lt;/p&gt;
+&lt;p&gt;.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h&lt;/p&gt;
+&lt;h2&gt;四、防御措施&lt;/h2&gt;
+&lt;p&gt;为了减少网络攻击造成的影响，华创网安相关产品紧急更新了相关防护措施，监测审计产品，已经部署相关规则，可以及时发现网络中的蠕虫病毒。工控漏洞评估系统已增加相应的漏洞检测脚本，可以提前发现网络中的存在漏洞的主机。&lt;/p&gt;
+&lt;h4&gt;1、传统网络防护措施&lt;/h4&gt;
+&lt;p&gt;根据此攻击，传统网络的防御措施如下：&lt;/p&gt;
+&lt;p&gt;1．防火墙屏蔽445端口
+2．利用 Windows Update 进行系统更新
+3．关闭 SMBv1 服务
+4．部署相应的检测规则&lt;/p&gt;
+&lt;p&gt;【检测规则】
+尽快部署在相关网络设备中部署如下检测规则&lt;/p&gt;
+&lt;p&gt;alert smb any any -&amp;gt; $HOME_NET any (msg:”ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)”; flow:to_server,established; content:”|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|”; depth:16; fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)&lt;/p&gt;
+&lt;p&gt;alert smb $HOME_NET any -&amp;gt; any any (msg:”ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response”; flow:from_server,established; content:”|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|”; depth:16; fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)&lt;/p&gt;
+&lt;p&gt;【漏洞补丁】
+由于本次Wannacry蠕虫事件的巨大影响，微软总部刚才决定发布已停服的XP和部分服务器版特别补丁。注意工控现场设备一定需要充分验证后才去更新相应的补丁。
+https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/&lt;/p&gt;
+&lt;p&gt;&lt;img alt="Alt text" src="/static/images/wannacry/41.png" /&gt;&lt;/p&gt;
+&lt;h4&gt;2、工控网络防护措施&lt;/h4&gt;
+&lt;p&gt;传统网络防御措施都适合工控网络吗，答案当然是否定的，原因如下：&lt;/p&gt;
+&lt;ol&gt;
+&lt;li&gt;
+&lt;p&gt;工控网络主机在安装相关软件时，会关闭windows防火墙，开启防火墙会影响上位机与控制设备之间的通信。&lt;/p&gt;
+&lt;/li&gt;
+&lt;li&gt;
+&lt;p&gt;更新windows补丁。连续性生产的设备上是无法实施，一旦因为补丁影响通信，后果无法估量。&lt;/p&gt;
+&lt;/li&gt;
+&lt;li&gt;
+&lt;p&gt;关闭SMBv1服务。连续性生产的设备上是无法实施。&lt;/p&gt;
+&lt;/li&gt;
+&lt;li&gt;
+&lt;p&gt;部署相应的检测规则。可以实施，尽快更新边界防护策略。&lt;/p&gt;
+&lt;/li&gt;
+&lt;/ol&gt;
+&lt;p&gt;由此可见，工控网络对于网络安全事件的响应是多么的困难和缓慢。不过幸庆的是，目前此蠕虫病毒仅通过网络进行传播，还未发现感染移动介质，很多工控网络因为隔离，躲过了此次攻击。但随着中国的工业4.0、智能制造等项目的推进，越来越多的工控系统会连接互联网，会了提前预防，我们是时候行动机来啦。对于此种类型的攻击，我们推荐的防御措施如下：&lt;/p&gt;
+&lt;div class="highlight"&gt;&lt;pre&gt;1. 工控网络与信息网之间部署工控防火墙，禁示SMB协议数据的传播。
+
+2. 主机安装白名单的工控防护软件，限制移动介质的使用、非法软件的安装、非法进程的运行，避免移动介质的感染。
+
+3. 工控网络中部署监测设备，实时监测蠕虫病毒，一旦发现立即上报告警，进行应急响应。
+&lt;/pre&gt;&lt;/div&gt;</description><dc:creator xmlns:dc="http://purl.org/dc/elements/1.1/">w3h</dc:creator><pubDate>Sat, 13 May 2017 14:36:00 +0800</pubDate><guid>tag:icsmaster.com,2017-05-13:security/wannacry.html</guid><category>工控安全</category></item><item><title>针对西门子PLC蠕虫的实现</title><link>http://icsmaster.com/security/plcblaster.html</link><description>&lt;h2&gt;研究背景&lt;/h2&gt;
 &lt;p&gt;随着“互联网+”、“中国智能制造2025“、“工业4.0”等概念的提出，为了提高生产率，独立、隔离的传统工控领域将迎来了新的互联网时代，越来越多的工控设备（如控制器、机器人、数控机床）将被暴露在互联网上或者与企业内网相连。随着互联网时代的来临，安全问题会越来越突出。然而，工业控制系统的安全不同于传统信息网络的安全，一旦出现网络攻击，后果不堪设想。关于工控病毒相关关键事件如下：&lt;/p&gt;
 &lt;ol&gt;
 &lt;li&gt;2010年伊朗核设施遭受“震网”超级病毒攻击，病毒的复杂程度超出人们的想象，该事件也被称为世界上首个“网络超级武器”事件。由于工业病毒攻击可以直接导致物理设备的故障，并进一步造成生产瘫痪甚至爆炸的灾难性后果。&lt;/li&gt;