欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

WannaCry变种出现新的秘密开关!为何会有秘密开关?

来源:本站整理 作者:佚名 时间:2017-05-15 TAG: 我要投稿

微步在线对5月12日爆发的WannaCry勒索蠕虫攻击事件保持密切的跟踪。数小时前,微步在线捕获到该蠕虫的第一个真正意义上的新变种,我们对该新蠕虫样本进行了紧急分析,目前结论如下。
新的WannaCry蠕虫有哪些变化?
微步在线分析发现,该变种蠕虫仍然使用一个“秘密开关”域名来决定是否进行后续的加密勒索。与第一波攻击中不同的是,此变种的开关域名发生了变化,新的开关域名为www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。对比发现,该开关域名与旧的开关域名仅有两个字母的差别:

此外,根据微步在线的威胁分析平台分析,新的开关域名也已被安全研究者接管,因此该变种传播后的加密行为可以被有效遏制。该变种的制造者继续使用kill switch版本的动机尚不明确。
值得注意的是,由于在国内部分地区暂时无法解析该域名,所以依然会出现攻击后被加密的情况。
企业如何应对该变种蠕虫?
根据新变种蠕虫的特点,我们建议企业紧急采取如下措施:
l  新的开关域名在国内部分地区无法正常解析,根据蠕虫的执行逻辑,这会造成失陷机器被执行加密勒索。因此,我们强烈建议增加对新的开关域名的内网DNS解析,并且保证对应的web服务器80端口能够正常访问。请注意,对于默认需配置proxy连接互联网的机器,该蠕虫将无法使用系统proxy设置连接互联网和秘密开关域名,建议配置内网DNS解析。
l  尽快升级存在漏洞的机器,此次新的变种印证了我们之前的推测,新的WannaCry变种攻击随时可能来临。具体的补丁升级步骤,请参考我们之前发布的报告。
该变种目前的影响有多大?
目前我们捕获到该变种的两个样本:
https://x.threatbook.cn/report/c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
https://x.threatbook.cn/report/32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
同时,根据微步在线掌握的威胁情报信息,该变种已在互联网进行传播,而并非仅在实验环境存在。但根据我们掌握的信息,目前新变种的攻击范围较小,不排除后续大规模爆发的可能性。
黑客为什么设置这个秘密开关域名?
真相是:这并不是一个秘密开关,Sorry…
站在反病毒一线的安全研究人员应该了解,木马为了躲避一些自动化的恶意软件分析系统(比如沙箱),会在运行前检测当前的运行环境是一个真实用户的机器还是用于恶意样本分析的虚拟环境。如果检测发现是后者,木马会采取完全不同的运行路径,比如直接退出。此外,沙箱环境为了避免恶意样本运行过程中对外界网络环境产生危害,通常会将恶意样本产生的网络流量进行拦截,同时为了保证恶意样本能够正常运行,对于恶意样本的网络请求(如DNS、HTTP)会模拟返回响应结果。这样做存在一个缺点,如果一个恶意样本利用上述沙箱特性进行针对性的检测,在样本发现自己运行在一个虚拟的沙箱环境中后,为了避免被检测到,采取隐藏自己恶意行为的措施或者直接退出运行。
我们推断此次WannaCry勒索木马使用这个秘密开关域名的原因就是为了进行沙箱环境的检测,逃避沙箱的自动化检测,进而延长自己的存活时间。原因有以下两点:
根据微步在线威胁分析平台的数据显示,此秘密开关域名从未被攻击者注册过,而是被安全人员发现后抢注。如果作为控制开关,黑客应该自己注册和掌控该域名;
攻击者很可能是在WannaCry样本中内置一个随机的未注册的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,该秘密开关域名的随机程度达到了97.77%,够不够随机?),在运行过程中用于判断是否会有网络响应,进而判断是否运行在虚拟的沙箱环境中,如果是则直接退出。这也符合之前我们对该样本的分析结论。
是不是设置了秘密开关的域名解析,就不会被攻击了?
不是。黑客随时可能发起新的攻击,使用不含此开关的新蠕虫。所以设置好DNS疫苗缓解之后,尽快安装补丁才是王道!
WannaCry木马是否存在潜伏期?
没有,木马执行后会首先连接秘密开关域名,如果连接成功,则直接退出,在没有其他人为因素触发(比如双击执行)的前提下,不会再执行,也不会再有危害。但如果受害者没有打补丁很可能会再次感染,重复这个过程。所以及时打补丁是关键。
设置了这个秘密开关域名的DNS解析,会不会反而被黑客控制?
不会。原因如下:
该域名已被安全机构掌握,该机构目前信誉良好
木马连接该域名后并不会请求和下载任何内容,仅作网络连通性测试。即便该域名被黑客掌握,也没有危害。
针对秘密开关域名的内部web服务器如何配置?
昨天我们报告发布后,已有多家企业用户按照报告中的建议进行部署,效果显著。
搭建针对秘密开关域名的具体过程如下:
修改内网的DNS服务器配置,将www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析地址指向内网一台Web服务器,该服务器必须为内网所有机器可达,且开放80端口。如果有多台DNS服务器,则需要一一进行修改。
如果内网没有Web服务器,需临时搭建一台Web服务器且保证该服务器能够正确响应根目录的Get请求,即保证web服务器

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载