基於SMB文件共享傳播的蠕蟲病毒又回歸了

如果你是一位長期奮戰在網路安全行業的人士，你一定會注意到一種情況：有些攻擊是呈周期性的，比如有的惡意軟體會通過技術迭代的方式不斷地出現，而有些攻擊類型和攻擊方法雖然已經過時了，但也會藉助某些新的載體出現。

以網路共享為例，網路共享是一種允許用戶通過網路共享文件和文件夾的技術。但不幸的是，網路共享一直是計算機蠕蟲的熱門攻擊目標。比如2017年5月，在國內外網路中發現爆發基於windows網路共享協議進行攻擊傳播的蠕蟲惡意代碼，這是不法分子通過改造之前泄露的NSA黑客武器庫中「永恆之藍」攻擊程序發起的網路攻擊事件。但近年來，在使用電子郵件和受感染網站的大趨勢下，基於SMB文件共享傳播的蠕蟲病毒的受歡迎程度有所下降。

還記得WannaCry嗎？去年，它橫掃全球150多個國家，讓眾多機構、企業、個人設備損失慘重。如今，WannaCry餘威猶在，效仿者也層出不窮。

你可能會認為WannaCry已經在技術快速迭代的今天已經成為了古老歷史，那就大錯特錯了。時至今日，WannaCry造成的直接衝擊當然已經過去，但這並不意味著幫助它傳播的機制可以被忽略，WannaCry已經證明了基於SMB文件共享傳播是多麼的脆弱。例如，我們的下一代IPS（入侵防禦系統）設備使用的多個SMB入侵檢測規則經常被更新。這也不足為奇，因為埠445（SMB使用的主要埠）通常是開放的。實際上，在Shodan（一個針對網路設備的搜索引擎）上，只要搜索埠445，就會返回顯示超過200萬台打開此埠的設備（鏈接需要登錄）。

通過對2018年10月到11月，連續兩個月安全監測，我們發現埠上的SMB埠活動出現了一個相當穩定的攻擊模式。這表明，有攻擊開始經常使用SMB作為攻擊媒介。

當然，值得一提的是我們從2018年11月13日開始看到，基於SMB文件共享傳播的蠕蟲病毒事件開始飆升。與此同時，思科也發布了一份安全諮詢，詳細說明了可能通過SMB遠程觸發的漏洞。雖然我們無法確定這些是否是惡意攻擊，但滲透測試人員通過測試還是新發現了漏洞，顯而易見，基於SMB文件共享傳播的蠕蟲病毒又回歸了。

SMB的起源歷史

從用戶的角度來看，網路共享就是以計算機等終端設備為載體，藉助互聯網這個面向公眾的社會性組織，進行信息交流和資源共享，並允許他人去共享自己的勞動果實。你可以訪問遠程計算機或從遠程計算機複製文件，就像它們位於本地計算機上一樣。你甚至不需要伺服器就可以在計算機之間進行通信，這都得益於這些設備可以直接連接。

從歷史上看，SMB(全稱是Server Message Block) 一開始的設計是在NetBIOS協議上運行的（而NetBIOS本身則運行在NetBEUI、IPX/SPX或TCP/IP協議上），Windows 2000引入了SMB直接在TCP/IP上運行的功能。它的流行在很大程度上要歸功於微軟從上世紀90年代初開始對該協議的採用、實現和投資。在Windows上設置和使用SMB非常簡單，只需要很少的配置，就可以用於各種目的。不僅可以共享文件和文件夾，還可以共享印表機和其他設備。

毫無疑問，SMB協議有助於讓許多內部網路的性能釋放出來。但是，這種易用性卻有其非常脆弱的一面：協議幾乎不需要身份驗證或加密。雖然它的安全性在後來的版本中確實有所改進，但由於向後兼容性，舊版本至今仍佔據著大量市場。

由於該協議可以直接連接計算機，因此該協議會自然成為黑客尋求攻擊目標的必備途徑。而蠕蟲病毒就是其中一種常見的攻擊手段，蠕蟲病毒是一種常見的計算機病毒。它是利用網路進行複製和傳播，傳染途徑是通過網路和電子郵件。最初的蠕蟲病毒定義是因為在DOS環境下，病毒發作時會在屏幕上出現一條類似蟲子的東西，胡亂吞吃屏幕上的字母並將其改形。蠕蟲病毒是自包含的程序或是一套程序，它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統中（通常是經過網路連接）。儘管SMB並不總是攻擊者的首選方法，但它卻是最簡單的方法。然而，隨著SMB中一個關鍵漏洞的出現，情況發生了變化。

EternalBlue曝光

2017年，Shadow Brokers（影子經紀人）組織把FBI發現的EternalBlue漏洞（利用微軟MS17-010漏洞所開發的網路武器。）公開了，後來就有了利用公布的這個漏洞四處橫行的WannaCry。EternalBlue這個工具就是利用windows系統的Windows SMB遠程執行代碼漏洞向Microsoft伺服器消息塊 (SMBv1) 伺服器發送經特殊設計的消息，進行遠程代碼執行。簡而言之，此漏洞為惡意行為者在任何運行SMB1的計算機上安裝惡意軟體打開了大門。

漏洞的核心位於負責轉換SMBv1消息中的FEA(SMBv1標準中定義的Full Extended Attribute)列表塊的函數，更具體地說，是轉換OS/2和SMBv1的NTV變體的部分。用例本身(在OS/2和NT格式之間進行轉換)意味著這是在20世紀90年代寫的代碼，代碼可能會做相當危險的操作，因為這樣的轉換需要實現消息的複製與重寫。

2017年4月16日，CNCERT主辦的CNVD發布《關於加強防範Windows操作系統和相關軟體漏洞攻擊風險的情況公告》，對影子紀經人「Shadow Brokers」披露的多款涉及Windows操作系統SMB服務的漏洞攻擊工具情況進行了通報（相關工具列表如下），並對有可能產生的大規模攻擊進行了預警。

2017年5月12日，WannaCry像野火一樣蔓延，瞬間破壞了大量的計算機。如果用戶啟用了SMB1，WannaCry能夠在沒有用戶任何操作的情況下利用它，安裝其勒索軟體有效載荷，尋找更多啟用了SMB1的計算機，並感染它們。

Nyetya

自2017年5月份經歷勒索軟體WannaCry的大規模爆發後，思科Talos團隊又在6月27日發現了最新的勒索軟體變種——Nyetya。 Nyetya是通過一個稅務軟體包更新系統進行部署的，超過80%的烏克蘭公司使用該稅務軟體，安裝了超過100萬台設備。烏克蘭網路警察確認烏克蘭有超過2000家公司受到Nyetya影響。

Nyetya除了利用EternalBlue進行傳播外，還利用了與SMB相關的另一個漏洞，名為EternalRomance，它對舊版本的Windows破壞了更強。

乍一看，WannaCry和Nyetya看起來很相似：它們都是通過SMB傳播，然後對計算機進行加密。但WannaCry本身就是一個勒索軟體，而Nyetya則是偽裝成勒索軟體，它其實是一款數據擦除的惡意軟體。

這兩個示例顯示了使用易受攻擊的網路協議是多麼的危險，以及修補系統的重要性。然而，即使沒有易於濫用的漏洞利用，SMB對攻擊者也同樣具有吸引力。

雖然SamSam，Bad Rabbit和Olympic Destroyer等威脅會使用不同的工具來訪問網路，但一旦進入到計算機內部，它們就會利用SMB來遍歷它們。還有一些情況是使用針對SMB共享的暴力攻擊實現數據竊取，攻擊者使用工具一次又一次地輸入共享密碼，以期能猜中。

如何預防SMB威脅

WannaCRY事件之後，安全行業普遍認為互聯網安全進入了後「永恆之藍」時代，但有關微軟SMB1協議的安全漏洞還沒有結束。2017年10月，包括CVE-2017-11781，CVE-2017-11782，CVE-2017-11815，CVE-2017-11780的多個可被遠程利用的SMB1漏洞曝光。

那麼如何防範與SMB相關的攻擊呢？非常簡單：就是停止使用它。事實上，截至2018年4月，該協議不再預裝在Windows中。

與其通過SMB連接計算機來共享文件，不如使用專用的文件伺服器或基於雲的服務。配置網路印表機以使用其他協議。如果你無法在你的環境中關閉SMB，請至少確保禁用SMB1。關閉TCP埠445和139，以確保SMB通信僅限於內部網路。除此之外，埠不應該能夠通過SMB相互通信。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！