一、WannaCry简介
WannaCry勒索病毒自5月12日起在全球范围内大面积传播,目前已有150多个国家和地区的30万台电脑遭该勒索病毒感染,我国部分高校内网、大型企业内网和政府机构专网遭受攻击。一旦勒索病毒发动攻击并攻击成功,损失几乎无法阻挡。被感染病毒电脑中的文件会被加密,需支付巨额赎金才能恢复数据,然而也可能会有支付了赎金却被骗的情况发生。
涉及开放445端口且没有及时安装MS17-010补丁的客户端和服务器系统都将可能面临此威胁。MS17-010漏洞主要影响以下操作系统:Windows 2000,Windows 2003,Windows2008,Windows2012,Windows XP,Windows Vista,Windows7,Windows8,Windows10。
该勒索病毒主要具有2显著特性:
· 蠕虫特性:利用微软Windows现存漏洞,以进行内外网传播
· 勒索特性:加密用户重要文件,以索取赎金
蠕虫特性分析:
· 蠕虫代码运行后会先检测域名:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com;
若该域名可成功连接,则退出。(注:此“Kill Switch”及相应机制在后续病毒变种中消失);
如上述域名无法访问,则会继续恶意软件程序逻辑;
· 释放资源到C:\WINDOWS目录下的tasksche.exe,并将其启动;
· 蠕虫病毒服务启动后,会利用MS17-010漏洞进行传播。传播分为两种渠道,一种是局域网传播,另一种是公网传播;
· 病毒会根据用户计算机内网IP,生成覆盖整个局域网网段表,然后循环依次尝试攻击。然后使用漏洞,注入到被攻击计算机中,释放资源到被攻击计算机“C:Windows\mssecsvc.exe”,并执行;
· 被攻击的计算机包含病毒的完整功能,除了会被勒索,还会继续使用MS17-010漏洞进行传播。传播速度快,是该病毒短时间内大规模爆发的主要原因。
勒索特性分析:
该程序会释放以下一组相关文件:
· taskdl.exe:删除临时目录下的所有“*.WNCRYT”扩展名的临时文件
· taskse.exe:以任意session运行指定程序
· u.wnry:解密程序,释放后名为@WanaDecryptor@.exe
· b.wnry:勒索图片资源
· s.wnry:包含洋葱路由器组件的压缩包(病毒作者将勒索服务器搭建在”暗网”,需要通过tor.exe和服务器进行通信)
· c.wnry:洋葱路由器地址信息
· t.wnry:解密后得到加密文件主要逻辑代码
· r.wnry:勒索Q&A
二、沙箱技术对WannaCry恶意软件进行行为分析
截图1:对WanaCry及其变种进行动态行为分析
截图2: 受感染进程侦测
截图3: 勒索病毒生成文件追踪
截图4:通过加密用户数据文件已达到勒索目的
截图5:对WannaCry 中特定Kill Switch的探测
三、蓝盾基于沙箱技术对WannaCry恶意软件的风险评估
o 远程接入
o 包含远程桌面字符串
o 读取终端服务相应Keys(常与RDP相关)
o 在非常规端口上使用网络协议(如位于主机xxx.xx.xx.xxx:9003的TCP异常流量)
o 勒索软件
o 删除大量镜像(通常用在勒索软件中)
o 检测到此文件为勒索软件的一系列隐含指标
o 持久性
o 关闭操作系统的启动修复功能
o 通过在寄存器中设置/创建1个或多个值以修改自动运行功能
o 在程序运行中,复制大量进程
o 指纹痕迹
o 找到若干文件包含Windows用户名
o 通过Windows Management Instrumentation Command line服务读取系统信息
o 传播性
o 打开 MountPointManager(通常用于侦测其他感染位置)
o TCP协议,445端口的流量异常
o 网络行为
o 连接约14个远程服务器/主机,分部在7个国家中
o 文件行为
o 在Windows根目录下生成可执行文件
o 生成新PE文件
o 更改文件时间属性
o 其他隐含指标(IoCs)
o 外部系统源
§ 本样本被大量杀毒引擎标定为恶意
o 通用:
§ 在样本运行过程中释放的文件被大量杀毒引擎标识为恶意(如u.wnry)
§ 在样本运行过程中有若干进程被大量杀毒引擎标识为恶意(如taskdl.exe)
四、蓝盾沙箱技术
沙箱针对企业或政府单位在网络中传送的且FW、AV和IPS无法用特征码识别的未知文件进行抓取并传送至沙箱中,进行动态行为分析结果判断出其危害特性,与企业或政府单位的安全系统进行联动更新安全库,阻止恶意文件在网络和电脑上传播,从而增强网络防疫。
沙箱以动态分析将恶意样例引入虚拟环境,动态运行及解析恶意样例,通过分析样例记录其动态行为来判断样例中是否包括恶意行为,其中动态行为包括:
· 恶意样例内部函数及WindowsAPI调用记录日志;
· 对系统注册表、进程、文件、网络、服务、进程注入及互斥等操作(增删改查)的监测记录;
· 对加壳恶意样例进行脱壳产生内存dump文件,以便为第三方安全产品对恶意文件进行家族分类;
· 产生易读的总结报告及详细的日志信息。
此沙箱有别于其他传统沙箱的技术优点有:
o 严重程度侦测模型及风险指数预测;
o 成本低;
o 反沙箱逃逸技术的合理利用;
o 无Windows系统API钩子,反检测;
o 高检测率;
o 低误报率;
o Shellcode的分析及URL双引擎分析;
o 采用最新docker技术,易于部署;
o 多种结果输出接口如json, ioc,与第三方安全产品集成容易;
o 支持云部署和任何类型虚拟机;
o 支持文件与其依赖文件一同沙箱分析,避免单文件无法运行问题(如a.exe+b.dll+c.dat等);
o 支持多种文件类型;
o 支持用户镜像定制及多种操作系统x86和x64(WindowsXP,Windows7,Windows8.1,Windows10),可使沙箱分析环境与真实用户环境保持一致以便发现0Day攻击。
微信扫一扫,分享到朋友圈
 in <b>/www/wwwroot/www.centrechina.com/wp-content/themes/Grace-8.5.8/includes/share/share.php</b> on line <b>89</b><br />
NC_BASE_URLmodules/qrcode/qrcode.php?data=https%3A%2F%2Fwww.centrechina.com%2Fbiz%2F108682.html)
