已勒索了150多個國家的WannaCry病毒,或出新變種

36氪 於 16/05/2017 發表 收藏文章

5月12日晚開始,WannaCry勒索病毒席捲全球。國內諸多所高校遭到了網絡攻擊,大量學生畢業論文等重要資料被病毒加密,只有支付贖金才能恢復。此外,相當一部分企事業單位的電腦也同樣中招,比如中國聯通鄭州分公司、響水公安局出入境辦事處、中國石油加油站等受到比特幣勒索病毒的影響,部分業務癱瘓。感染病毒的計算機要想解除鎖定,只能向對方支付所要求的比特幣,否則硬盤將被徹底清空。

據悉,目前至少有150個國家受到網絡攻擊,受害人數多達20萬人,並且影響還在持續中。

外媒報道,13日一名22歲的英國網絡工程師發現,勒索病毒正不斷嘗試進入一個尚不存在的網址,於是他註冊了這個域名,試圖獲取勒索病毒的相關數據,卻驚奇地發現,勒索病毒在全球的進一步蔓延得到了阻攔。據他和同事分析,這個網址很可能是勒索病毒開發者為避免被網絡安全人員捕獲所設定的“檢查站”,而註冊網址的行為無意觸發了程序自帶的“自殺開關”,也就是説,勒索病毒在每次發作前都要訪問這個不存在的網址,如果網址繼續不存在,説明勒索病毒尚未引起安全人員注意,可以繼續在網絡上暢行無阻;而一旦網址存在,意味着病毒有被攔截並分析的可能。在這種情況下,為避免被網絡安全人員獲得更多數據甚至反過來加以控制,勒索病毒會停止傳播。

微步在線資深威脅分析師察罕認為,所謂的“自殺開關”,原理是這樣的:木馬為了躲避一些自動化的惡意軟件分析系統(比如沙箱),會在運行前檢測當前的運行環境是一個真實用户的機器還是用於惡意樣本分析的虛擬環境。如果檢測發現是後者,木馬會採取完全不同的運行路徑,比如直接退出。此外,沙箱環境為了避免惡意樣本運行過程中對外界網絡環境產生危害,通常會將惡意樣本產生的網絡流量進行攔截,同時為了保證惡意樣本能夠正常運行,對於惡意樣本的網絡請求(如DNS、HTTP)會模擬返回響應結果。這樣做存在一個缺點,如果一個惡意樣本利用上述沙箱特性進行鍼對性的檢測,在樣本發現自己運行在一個虛擬的沙箱環境中後,為了避免被檢測到,採取隱藏自己惡意行為的措施或者直接退出運行。

微步在線推斷此次WannaCry勒索木馬使用這個祕密開關域名的原因就是為了進行沙箱環境的檢測,逃避沙箱的自動化檢測,進而延長自己的存活時間。原因有以下兩點:

  • 根據微步的數據顯示,此祕密開關域名從未被攻擊者註冊過,而是被安全人員發現後搶注。如果作為控制開關,黑客應該自己註冊和掌控該域名;
  • 攻擊者很可能是在WannaCry樣本中內置一個隨機的未註冊的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, 該祕密開關域名的隨機程度達到了97.77%,夠不夠隨機?),在運行過程中用於判斷是否會有網絡響應,進而判斷是否運行在虛擬的沙箱環境中,如果是則直接退出。這也符合之前我們對該樣本的分析結論。

而就在數小時前,36氪從微步在線處獲悉,他們捕獲到WannaCry蠕蟲的新變種。


察罕告知,該變種仍然使用一個“祕密開關”域名來決定是否進行後續的加密勒索。與第一波攻擊中不同的是,此變種的開關域名發生了變化,新的開關域名為www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。對比發現,該開關域名與舊的開關域名僅有兩個字母的差別:


此外,新的開關域名也已被安全研究者接管,因此該變種傳播後的加密行為可以被有效遏制。該變種的製造者繼續使用kill switch版本的動機尚不明確。

值得注意的是,新的開關域名在國內部分地區無法正常解析,根據蠕蟲的執行邏輯,這會造成失陷機器被執行加密勒索。所以,微步在線建議企業:增加對新的開關域名的內網DNS解析,並且保證對應的web服務器80端口能夠正常訪問。請注意,對於默認需配置proxy連接互聯網的機器,該蠕蟲將無法使用系統proxy設置連接互聯網和祕密開關域名,建議配置內網DNS解析。

以及,儘快升級存在漏洞的機器,因為新的WannaCry變種攻擊隨時可能來臨。

附補丁下載地址:

1、Windows Server 2003 SP2 x64:http://www.microsoft.com/downloads/details.aspx?FamilyId=d3cb7407-3339-452e-8371-79b9c301132e

2、Windows Server 2003 SP2 x86:http://www.microsoft.com/downloads/details.aspx?FamilyId=350ec04d-a0ba-4a50-9be3-f900dafeddf9

3、Windows XP SP2 x64:http://www.microsoft.com/downloads/details.aspx?FamilyId=5fbaa61b-15ce-49c7-9361-cb5494f9d6aa

4、Windows XP SP3 x86:http://www.microsoft.com/downloads/details.aspx?FamilyId=7388c05d-9de6-4c6a-8b21-219df407754f

5、Windows XP Embedded SP3 x86:http://www.microsoft.com/downloads/details.aspx?FamilyId=a1db143d-6ad2-4e7e-9e90-2a73316e1add

6、Windows 8 x86:http://www.microsoft.com/downloads/details.aspx?FamilyId=6e2de6b7-9e43-4b42-aca2-267f24210340

7、Windows 8 x64:http://www.microsoft.com/downloads/details.aspx?FamilyId=b08bb3f1-f156-4e61-8a68-077963bae8c0


資料來源:36Kr

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→