<bdo id="2b3yk"><code id="2b3yk"></code></bdo>

  • <output id="2b3yk"><sup id="2b3yk"></sup></output>
    <output id="2b3yk"><ruby id="2b3yk"></ruby></output>
  • <code id="2b3yk"><delect id="2b3yk"></delect></code>

  • WannaCry變種導致系統藍屏分析及防護措施

    2017-07-13 1901215人圍觀 ,發現 6 個不明物體 系統安全資訊

    5月中旬,WannaCry勒索病毒席卷全球,我國多數企事業單位、學校感染,損失慘重。此次事件讓我們記住了“永恒之藍” ,讓我們了解了黑客組織影子經紀人(Shadow Brokers)、方程式組織(Equation Group)。WannaCry爆發后,很多黑客不斷的修改該病毒,衍生出很多變種,此次亞信安全截獲的變種依然是通過微軟MS17-010漏洞傳播,但是其不會加密系統中的文件,卻可以導致系統藍屏。

    0×001 前言

    WannaCry病毒分蠕蟲部分和勒索病毒部分,前者用于傳播和釋放病毒,后者攻擊用戶加密文件。目前獲取的樣本中執行加密模塊的進程已無法正常啟動運行,即使系統感染了該病毒,系統中的文件也不會被加密。

    0×002 蠕蟲部分分析

     域名開關

    該蠕蟲代碼執行后,首先會連接http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,與之前樣本不同的是,無論該域名訪問成功與否,都會繼續往下執行主函數。也就是說,該變種的域名開關是失效的。如下圖所示:

    WannaCry變種導致系統藍屏

    ?  建立并啟動服務

    該病毒會安裝服務,服務的二進制文件路徑為當前進程文件路徑,參數為:-m security,并啟動服務。

    WannaCry變種導致系統藍屏

    WannaCry變種導致系統藍屏

    ?  釋放文件

    該病毒會釋放其資源文件,創建新進程(勒索模塊)。

    WannaCry變種導致系統藍屏

    WannaCry變種導致系統藍屏

    其從資源中釋放出taskche.exe文件,該文件本身是可執行文件,直接創建進程執行。該進程主要的功能是進行加密文件等一系列操作。

    WannaCry變種導致系統藍屏

    ?  漏洞傳播

    該病毒啟動后會執行一次本地網絡地址攻擊。

    攻擊時,首先會嘗試連接對方的445端口,連接成功后,開始發送攻擊包。

    本地網絡攻擊的邏輯為遍歷機器上的所有網卡,獲得所有的本地ip、網關的ip、用這些ip生成覆蓋整個局域網網段的攻擊列表(1-255),對本地的網絡地址進行攻擊。

    WannaCry變種導致系統藍屏

    WannaCry變種導致系統藍屏

    本地網絡地址攻擊后,持續性的開始對外網進行攻擊,外網的攻擊范圍為隨機(1-255).( 1-255).(1-255). (1-255)。

    WannaCry變種導致系統藍屏

    0×003 勒索部分

     經過我們對蠕蟲文件釋放的勒索模塊的分析,與之前的Wannacry樣本對比,在此樣本中該模塊已經是被修改過的并且是無法運行的,我們通過樣本的比較,靜態逆向以及動態調試確認,該taskche.exe進程是無法運行的,所以被感染機器中的文件并沒有被加密。

    文件內容變化

    與之前樣本對比,此次變種釋放的勒索模塊大小并沒有改變,而在文件的內容上發生了變化,如下圖所示:

    WannaCry變種導致系統藍屏

    文件執行

    與之前的樣本對比,該樣本釋放的勒索文件因程序損壞而無法直接運行,運行會產生如下異常,如下圖所示:

    WannaCry變種導致系統藍屏

    動態調試

    通過對母體文件的動態調試,蠕蟲代碼在執行釋放資源后啟動進程時,該進程(taskche.exe)并沒有執行成功,而是返回的失敗。但并不會影響該蠕蟲代碼的執行流程,如下圖所示:

    WannaCry變種導致系統藍屏

    0x 004總結

    該病毒樣本是WannaCry的變種,是修改了勒索模塊并且導致該模塊直接無法運行,目前亞信安全可以檢測該樣本,蠕蟲樣本檢測名為:WORM_WCRY.C 勒索模塊檢測名為:RANSOM_WCRY.DAM。

    防護措施:

    利用系統防火墻高級設置阻止向445端口進行連接(該操作會影響使用445 端口的服務)。

    打開系統自動更新,并檢測更新進行安裝。

    請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。

    系統打上MS17-010對應的Microsoft Windows SMB 服務器安全更新 (4013389) 補丁程序。

    詳細信息請參考鏈接:https://technet.microsoft.com/library/security/MS17-010

    XP和部分服務器版WindowsServer2003特別安全補丁。詳細信息請參考鏈接: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

    *本文作者:亞信安全,轉載請注明FreeBuf.COM

    這些評論亮了

    • 比爾.蓋茨 (4級) iplaynice 回復
      藍屏分析在哪?。。。為什么總喜歡搞大新聞...
      )26( 亮了
    • dsa 回復
      ???? 這種樣本早就有了,目測藍屏是因為exp不穩定,而不是人工修改了exp導致的。。火星太久了吧
      )19( 亮了
    • 什么?我大清亡了? 回復
      什么?我大清亡了? :eek:
      )18( 亮了
    • 這就說明了一點,沒事別瞎點。。。。。
      )15( 亮了
    • UC集團 回復
      我UC震驚部真是人才輩出啊
      )14( 亮了
    發表評論

    已有 6 條評論

    取消
    Loading...
    css.php 宁夏卫视在线直播观看