<samp id="wauki"></samp>
<samp id="wauki"><noscript id="wauki"></noscript></samp>

WannaCry變種導致系統藍屏分析及防護措施

2017-07-13 2021699人圍觀 ,發現 6 個不明物體 系統安全資訊

5月中旬,WannaCry勒索病毒席卷全球,我國多數企事業單位、學校感染,損失慘重。此次事件讓我們記住了“永恒之藍” ,讓我們了解了黑客組織影子經紀人(Shadow Brokers)、方程式組織(Equation Group)。WannaCry爆發后,很多黑客不斷的修改該病毒,衍生出很多變種,此次亞信安全截獲的變種依然是通過微軟MS17-010漏洞傳播,但是其不會加密系統中的文件,卻可以導致系統藍屏。

0×001 前言

WannaCry病毒分蠕蟲部分和勒索病毒部分,前者用于傳播和釋放病毒,后者攻擊用戶加密文件。目前獲取的樣本中執行加密模塊的進程已無法正常啟動運行,即使系統感染了該病毒,系統中的文件也不會被加密。

0×002 蠕蟲部分分析

 域名開關

該蠕蟲代碼執行后,首先會連接http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,與之前樣本不同的是,無論該域名訪問成功與否,都會繼續往下執行主函數。也就是說,該變種的域名開關是失效的。如下圖所示:

WannaCry變種導致系統藍屏

?  建立并啟動服務

該病毒會安裝服務,服務的二進制文件路徑為當前進程文件路徑,參數為:-m security,并啟動服務。

WannaCry變種導致系統藍屏

WannaCry變種導致系統藍屏

?  釋放文件

該病毒會釋放其資源文件,創建新進程(勒索模塊)。

WannaCry變種導致系統藍屏

WannaCry變種導致系統藍屏

其從資源中釋放出taskche.exe文件,該文件本身是可執行文件,直接創建進程執行。該進程主要的功能是進行加密文件等一系列操作。

WannaCry變種導致系統藍屏

?  漏洞傳播

該病毒啟動后會執行一次本地網絡地址攻擊。

攻擊時,首先會嘗試連接對方的445端口,連接成功后,開始發送攻擊包。

本地網絡攻擊的邏輯為遍歷機器上的所有網卡,獲得所有的本地ip、網關的ip、用這些ip生成覆蓋整個局域網網段的攻擊列表(1-255),對本地的網絡地址進行攻擊。

WannaCry變種導致系統藍屏

WannaCry變種導致系統藍屏

本地網絡地址攻擊后,持續性的開始對外網進行攻擊,外網的攻擊范圍為隨機(1-255).( 1-255).(1-255). (1-255)。

WannaCry變種導致系統藍屏

0×003 勒索部分

 經過我們對蠕蟲文件釋放的勒索模塊的分析,與之前的Wannacry樣本對比,在此樣本中該模塊已經是被修改過的并且是無法運行的,我們通過樣本的比較,靜態逆向以及動態調試確認,該taskche.exe進程是無法運行的,所以被感染機器中的文件并沒有被加密。

文件內容變化

與之前樣本對比,此次變種釋放的勒索模塊大小并沒有改變,而在文件的內容上發生了變化,如下圖所示:

WannaCry變種導致系統藍屏

文件執行

與之前的樣本對比,該樣本釋放的勒索文件因程序損壞而無法直接運行,運行會產生如下異常,如下圖所示:

WannaCry變種導致系統藍屏

動態調試

通過對母體文件的動態調試,蠕蟲代碼在執行釋放資源后啟動進程時,該進程(taskche.exe)并沒有執行成功,而是返回的失敗。但并不會影響該蠕蟲代碼的執行流程,如下圖所示:

WannaCry變種導致系統藍屏

0x 004總結

該病毒樣本是WannaCry的變種,是修改了勒索模塊并且導致該模塊直接無法運行,目前亞信安全可以檢測該樣本,蠕蟲樣本檢測名為:WORM_WCRY.C 勒索模塊檢測名為:RANSOM_WCRY.DAM。

防護措施:

利用系統防火墻高級設置阻止向445端口進行連接(該操作會影響使用445 端口的服務)。

打開系統自動更新,并檢測更新進行安裝。

請注意備份重要文檔。備份的最佳做法是采取3-2-1規則,即至少做三個副本,用兩種不同格式保存,并將副本放在異地存儲。

系統打上MS17-010對應的Microsoft Windows SMB 服務器安全更新 (4013389) 補丁程序。

詳細信息請參考鏈接:https://technet.microsoft.com/library/security/MS17-010

XP和部分服務器版WindowsServer2003特別安全補丁。詳細信息請參考鏈接: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

*本文作者:亞信安全,轉載請注明FreeBuf.COM

這些評論亮了

  • 比爾.蓋茨 (4級) iplaynice 回復
    藍屏分析在哪?。。。為什么總喜歡搞大新聞...
    )28( 亮了
  • dsa 回復
    ???? 這種樣本早就有了,目測藍屏是因為exp不穩定,而不是人工修改了exp導致的。。火星太久了吧
    )21( 亮了
  • 什么?我大清亡了? 回復
    什么?我大清亡了? :eek:
    )20( 亮了
  • 這就說明了一點,沒事別瞎點。。。。。
    )17( 亮了
  • UC集團 回復
    我UC震驚部真是人才輩出啊
    )16( 亮了
發表評論

已有 6 條評論

取消
Loading...
css.php 江苏11选5网上购买