<input id="eiiko"></input>
<menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>
  • WannaCry变种导致系统蓝屏分析及防护措施

    2017-07-13 2025000人围观 ,发现 6 个不明物体 系统安全资讯

    5月中旬,WannaCry勒索病毒席卷全球,我国多数企事业单位、学校感染,损失惨重。此次事件让我们记住了“永恒之蓝” ,让我们了解了黑客组织影子经纪人(Shadow Brokers)、方程式组织(Equation Group)。WannaCry爆发后,很多黑客不?#31995;?#20462;改该病毒,衍生出很多变种,此次亚信安全截获的变种依然是通过微软MS17-010漏洞传播,但是其不会?#29992;?#31995;统中的文件,却可以导致系统蓝屏。

    0×001 前言

    WannaCry病毒分蠕虫部分和勒索病毒部分,前者用于传播和?#22836;?#30149;毒,后者攻击用户?#29992;?#25991;件。目前获取的样本中执行?#29992;?#27169;块的进程已无法正常启动运?#26657;?#21363;使系统感染了该病毒,系统中的文件也不会被?#29992;堋?/p>

    0×002 蠕虫部分分析

     域名开关

    该蠕虫代码执行后,首先会连接http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,与之前样本不同的是,无论该域名访问成功与否,都会继续往?#36718;?#34892;主函数。也就是说,该变种的域名开关是失效的。如下图所示:

    WannaCry变种导致系统蓝屏

    ?  建立并启动服务

    该病毒会安装服务,服务的二进制文件路径为当前进程文件路径,参数为:-m security,并启动服务。

    WannaCry变种导致系统蓝屏

    WannaCry变种导致系统蓝屏

    ?  ?#22836;?#25991;件

    该病毒会?#22836;牌?#36164;?#27425;?#20214;,创建新进程(勒索模块)。

    WannaCry变种导致系统蓝屏

    WannaCry变种导致系统蓝屏

    其从资源中?#22836;?#20986;taskche.exe文件,该文件本身是可执行文件,直接创建进程执行。?#23186;?#31243;主要的功能是进行?#29992;?#25991;件等一系列操作。

    WannaCry变种导致系统蓝屏

    ?  漏洞传播

    该病毒启动后会执行一次本地网络地址攻击。

    攻击时,首先会尝试连接对方的445端口,连接成功后,开始发送攻击包。

    本地网络攻击的逻辑为遍历机器?#31995;?#25152;有网卡,获得所有的本地ip、网关的ip、用这些ip生成覆盖整个局域网网段的攻击列表(1-255),对本地的网络地?#26041;?#34892;攻击。

    WannaCry变种导致系统蓝屏

    WannaCry变种导致系统蓝屏

    本地网络地址攻击后,?#20013;?#24615;的开始对外网进行攻击,外网的攻击范围为随机(1-255).( 1-255).(1-255). (1-255)。

    WannaCry变种导致系统蓝屏

    0×003 勒索部分

     经过我们对蠕虫文件?#22836;?#30340;勒索模块的分析,与之前的Wannacry样本对比,在此样本中该模块已经是被修改过的并且是无法运行的,我们通过样本的比较,静态逆向以及动态调试确认,该taskche.exe进程是无法运行的,所以被感染机器中的文件并没有被?#29992;堋?/p>

    文件内容变化

    与之前样本对比,此次变种?#22836;?#30340;勒索模块大小并没有改变,而在文件的内容上发生了变化,如下图所示:

    WannaCry变种导致系统蓝屏

    文件执行

    与之前的样本对比,该样本?#22836;?#30340;勒索文件因程序损坏而无法直接运?#26657;?#36816;行会产生如下异常,如下图所示:

    WannaCry变种导致系统蓝屏

    动态调试

    通过?#38405;?#20307;文件的动态调试,蠕虫代码在执行?#22836;?#36164;源后启动进程时,?#23186;?#31243;(taskche.exe)并没有执行成功,而是返回的失败。但并不会影响该蠕虫代码的执行流程,如下图所示:

    WannaCry变种导致系统蓝屏

    0x 004总结

    该病毒样本是WannaCry的变种,是修改了勒索模块并且导致该模块直接无法运?#26657;?#30446;前亚信安全可以检测该样本,蠕虫样本检测名为:WORM_WCRY.C 勒索模块检测名为:RANSOM_WCRY.DAM。

    防护措施:

    利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445 端口的服务)。

    打开系统自动更新,并检测更新进行安装。

    请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

    系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389) 补丁程序。

    详?#24863;?#24687;请参考链接:https://technet.microsoft.com/library/security/MS17-010

    XP和部分服务器版WindowsServer2003特别安全补丁。详?#24863;?#24687;请参考链接: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

    *本文作者:亚信安全,转载请注明FreeBuf.COM

    这些评论亮了

    • 比尔.盖茨 (4级) iplaynice 回复
      蓝屏分析在?#27169;俊!!?#20026;什么总?#19981;?#25630;大新闻...
      )28( 亮了
    • dsa 回复
      ???? 这种样本早就有了,目测蓝屏是因为exp不稳定,而不是人工修改了exp导致的。。火星太久了吧
      )21( 亮了
    • 什么?我大清亡了? 回复
      什么?我大清亡了? :eek:
      )20( 亮了
    • 这就说明了一点,没事别瞎点。。。。。
      )17( 亮了
    • UC集团 回复
      我UC震惊部真是人才辈出啊
      )16( 亮了
    发表评论

    已有 6 条评论

    取消
    Loading...
    css.php 天津11选5开奖
    <input id="eiiko"></input>
    <menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>
  • <input id="eiiko"></input>
    <menu id="eiiko"><blockquote id="eiiko"></blockquote></menu>
  • <bdo id="eiiko"><samp id="eiiko"></samp></bdo>