WannaCry变种导致系统蓝屏分析及防护措施

2017-07-13 1776486人围观 ,发现 6 个不明物体 系统安全资讯

河北时时彩开奖结果走势图 www.nw9nn.com.cn 5月中旬,WannaCry勒索病毒席卷全球,我国多数企事业单位、学校感染,损失惨重。此次事件让我们记住了“永恒之蓝” ,让我们了解了黑客组织影子经纪人(Shadow Brokers)、方程式组织(Equation Group)。WannaCry爆发后,很多黑客不断的修改该病毒,衍生出很多变种,此次亚信安全截获的变种依然是通过微软MS17-010漏洞传播,但是其不会加密系统中的文件,却可以导致系统蓝屏。

0×001 前言

WannaCry病毒分蠕虫部分和勒索病毒部分,前者用于传播和释放病毒,后者攻击用户加密文件。目前获取的样本中执行加密??榈慕桃盐薹ㄕF舳诵?,即使系统感染了该病毒,系统中的文件也不会被加密。

0×002 蠕虫部分分析

 域名开关

该蠕虫代码执行后,首先会连接//www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,与之前样本不同的是,无论该域名访问成功与否,都会继续往下执行主函数。也就是说,该变种的域名开关是失效的。如下图所示:

WannaCry变种导致系统蓝屏

?  建立并启动服务

该病毒会安装服务,服务的二进制文件路径为当前进程文件路径,参数为:-m security,并启动服务。

WannaCry变种导致系统蓝屏

WannaCry变种导致系统蓝屏

?  释放文件

该病毒会释放其资源文件,创建新进程(勒索??椋?。

WannaCry变种导致系统蓝屏

WannaCry变种导致系统蓝屏

其从资源中释放出taskche.exe文件,该文件本身是可执行文件,直接创建进程执行。该进程主要的功能是进行加密文件等一系列操作。

WannaCry变种导致系统蓝屏

?  漏洞传播

该病毒启动后会执行一次本地网络地址攻击。

攻击时,首先会尝试连接对方的445端口,连接成功后,开始发送攻击包。

本地网络攻击的逻辑为遍历机器上的所有网卡,获得所有的本地ip、网关的ip、用这些ip生成覆盖整个局域网网段的攻击列表(1-255),对本地的网络地址进行攻击。

WannaCry变种导致系统蓝屏

WannaCry变种导致系统蓝屏

本地网络地址攻击后,持续性的开始对外网进行攻击,外网的攻击范围为随机(1-255).( 1-255).(1-255). (1-255)。

WannaCry变种导致系统蓝屏

0×003 勒索部分

 经过我们对蠕虫文件释放的勒索??榈姆治?,与之前的Wannacry样本对比,在此样本中该??橐丫潜恍薷墓牟⑶沂俏薹ㄔ诵械?,我们通过样本的比较,静态逆向以及动态调试确认,该taskche.exe进程是无法运行的,所以被感染机器中的文件并没有被加密。

文件内容变化

与之前样本对比,此次变种释放的勒索??榇笮〔⒚挥懈谋?,而在文件的内容上发生了变化,如下图所示:

WannaCry变种导致系统蓝屏

文件执行

与之前的样本对比,该样本释放的勒索文件因程序损坏而无法直接运行,运行会产生如下异常,如下图所示:

WannaCry变种导致系统蓝屏

动态调试

通过对母体文件的动态调试,蠕虫代码在执行释放资源后启动进程时,该进程(taskche.exe)并没有执行成功,而是返回的失败。但并不会影响该蠕虫代码的执行流程,如下图所示:

WannaCry变种导致系统蓝屏

0x 004总结

该病毒样本是WannaCry的变种,是修改了勒索??椴⑶业贾赂媚?橹苯游薹ㄔ诵?,目前亚信安全可以检测该样本,蠕虫样本检测名为:WORM_WCRY.C 勒索??榧觳饷篟ANSOM_WCRY.DAM。

防护措施:

利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445 端口的服务)。

打开系统自动更新,并检测更新进行安装。

请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389) 补丁程序。

详细信息请参考链接:https://technet.microsoft.com/library/security/MS17-010

XP和部分服务器版WindowsServer2003特别安全补丁。详细信息请参考链接: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

*本文作者:亚信安全,转载请注明www.nw9nn.com.cn

这些评论亮了

  • 比尔.盖茨 (4级) iplaynice 回复
    蓝屏分析在哪?。。。为什么总喜欢搞大新闻...
    )24( 亮了
  • dsa 回复
    ???? 这种样本早就有了,目测蓝屏是因为exp不稳定,而不是人工修改了exp导致的。?;鹦翘昧税?/div>
    )17( 亮了
  • 什么?我大清亡了? 回复
    什么?我大清亡了? :eek:
    )15( 亮了
  • 这就说明了一点,没事别瞎点。。。。。
    )13( 亮了
  • UC集团 回复
    我UC震惊部真是人才辈出啊
    )12( 亮了
发表评论

已有 6 条评论

取消
Loading...
css.php
  • 怎么也没有觉察到是什么向美国靠拢呀,只不过就是租借土地搞经济开发区吗,而且 听说 在骚乱中反华势力也不小呢, 2018-12-15
  • 【惊坛投稿】帮你上头条!来给“一语惊坛”投稿,下一个头条就是你! 2018-12-15
  • 法国总统马克龙首次访华 法国居民期待成果 2018-12-15
  • 端午节来了!与总书记一起“品尝”中华精神文化食粮 2018-12-14
  • 慈善基金进社区 点对点帮扶居民 2018-12-14
  • 端午当天赣64地超35℃ 最热的地方在上栗 2018-12-14
  • 紫光阁中共中央国家机关工作委员会 2018-12-14
  • 如何打好污染防治攻坚战? 2018-12-13
  • 回复@笑傲江湖V:七千二百多吧。 2018-12-13
  • 第四届世界互联网大会成果丰硕圆满落幕 130多亿元互联网项目签约 2018-12-13
  • 陕西广播电视台影视频道招聘启事 2018-12-12
  • 广东道交纠纷有望“一键理赔” 2018-12-12
  • [新闻直播间]我国不动产登记体系全面运行 为什么实行不动产统一登记? 2018-12-12
  • “末日彩排”!俄北风之神级潜艇齐射导弹可威慑对手 2018-12-11
  • 新疆巴里坤县:野生玫瑰竞相开放引客来 2018-12-11
  • 836| 589| 793| 618| 515| 153| 883| 860| 66| 488|