微步在線對5月12日爆發(fā)的WannaCry勒索蠕蟲攻擊事件保持密切的跟蹤。數(shù)小時前,微步在線捕獲到該蠕蟲的第一個真正意義上的新變種,我們對該新蠕蟲樣本進行了緊急分析,目前結(jié)論如下。
新的WannaCry蠕蟲有哪些變化?
微步在線分析發(fā)現(xiàn),該變種蠕蟲仍然使用一個“秘密開關(guān)”域名來決定是否進行后續(xù)的加密勒索。與第一波攻擊中不同的是,此變種的開關(guān)域名發(fā)生了變化,新的開關(guān)域名為www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。對比發(fā)現(xiàn),該開關(guān)域名與舊的開關(guān)域名僅有兩個字母的差別:
此外,根據(jù)微步在線的威脅分析平臺分析,新的開關(guān)域名也已被安全研究者接管,因此該變種傳播后的加密行為可以被有效遏制。該變種的制造者繼續(xù)使用kill switch版本的動機尚不明確。
值得注意的是,由于在國內(nèi)部分地區(qū)暫時無法解析該域名,所以依然會出現(xiàn)攻擊后被加密的情況。
企業(yè)如何應(yīng)對該變種蠕蟲?
根據(jù)新變種蠕蟲的特點,我們建議企業(yè)緊急采取如下措施:
l 新的開關(guān)域名在國內(nèi)部分地區(qū)無法正常解析,根據(jù)蠕蟲的執(zhí)行邏輯,這會造成失陷機器被執(zhí)行加密勒索。因此,我們強烈建議增加對新的開關(guān)域名的內(nèi)網(wǎng)DNS解析,并且保證對應(yīng)的web服務(wù)器80端口能夠正常訪問。請注意,對于默認需配置proxy連接互聯(lián)網(wǎng)的機器,該蠕蟲將無法使用系統(tǒng)proxy設(shè)置連接互聯(lián)網(wǎng)和秘密開關(guān)域名,建議配置內(nèi)網(wǎng)DNS解析。
l 盡快升級存在漏洞的機器,此次新的變種印證了我們之前的推測,新的WannaCry變種攻擊隨時可能來臨。具體的補丁升級步驟,請參考我們之前發(fā)布的報告。
該變種目前的影響有多大?
目前我們捕獲到該變種的兩個樣本:
https://x.threatbook.cn/report/c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
https://x.threatbook.cn/report/32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
同時,根據(jù)微步在線掌握的威脅情報信息,該變種已在互聯(lián)網(wǎng)進行傳播,而并非僅在實驗環(huán)境存在。但根據(jù)我們掌握的信息,目前新變種的攻擊范圍較小,不排除后續(xù)大規(guī)模爆發(fā)的可能性。
黑客為什么設(shè)置這個秘密開關(guān)域名?
真相是:這并不是一個秘密開關(guān),Sorry…
站在反病毒一線的安全研究人員應(yīng)該了解,木馬為了躲避一些自動化的惡意軟件分析系統(tǒng)(比如沙箱),會在運行前檢測當前的運行環(huán)境是一個真實用戶的機器還是用于惡意樣本分析的虛擬環(huán)境。如果檢測發(fā)現(xiàn)是后者,木馬會采取完全不同的運行路徑,比如直接退出。此外,沙箱環(huán)境為了避免惡意樣本運行過程中對外界網(wǎng)絡(luò)環(huán)境產(chǎn)生危害,通常會將惡意樣本產(chǎn)生的網(wǎng)絡(luò)流量進行攔截,同時為了保證惡意樣本能夠正常運行,對于惡意樣本的網(wǎng)絡(luò)請求(如DNS、HTTP)會模擬返回響應(yīng)結(jié)果。這樣做存在一個缺點,如果一個惡意樣本利用上述沙箱特性進行針對性的檢測,在樣本發(fā)現(xiàn)自己運行在一個虛擬的沙箱環(huán)境中后,為了避免被檢測到,采取隱藏自己惡意行為的措施或者直接退出運行。
我們推斷此次WannaCry勒索木馬使用這個秘密開關(guān)域名的原因就是為了進行沙箱環(huán)境的檢測,逃避沙箱的自動化檢測,進而延長自己的存活時間。原因有以下兩點:
根據(jù)微步在線威脅分析平臺的數(shù)據(jù)顯示,此秘密開關(guān)域名從未被攻擊者注冊過,而是被安全人員發(fā)現(xiàn)后搶注。如果作為控制開關(guān),黑客應(yīng)該自己注冊和掌控該域名;
攻擊者很可能是在WannaCry樣本中內(nèi)置一個隨機的未注冊的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,該秘密開關(guān)域名的隨機程度達到了97.77%,夠不夠隨機?),在運行過程中用于判斷是否會有網(wǎng)絡(luò)響應(yīng),進而判斷是否運行在虛擬的沙箱環(huán)境中,如果是則直接退出。這也符合之前我們對該樣本的分析結(jié)論。
是不是設(shè)置了秘密開關(guān)的域名解析,就不會被攻擊了?
不是。黑客隨時可能發(fā)起新的攻擊,使用不含此開關(guān)的新蠕蟲。所以設(shè)置好DNS疫苗緩解之后,盡快安裝補丁才是王道!
WannaCry木馬是否存在潛伏期?
沒有,木馬執(zhí)行后會首先連接秘密開關(guān)域名,如果連接成功,則直接退出,在沒有其他人為因素觸發(fā)(比如雙擊執(zhí)行)的前提下,不會再執(zhí)行,也不會再有危害。但如果受害者沒有打補丁很可能會再次感染,重復(fù)這個過程。所以及時打補丁是關(guān)鍵。
設(shè)置了這個秘密開關(guān)域名的DNS解析,會不會反而被黑客控制?
不會。原因如下:
該域名已被安全機構(gòu)掌握,該機構(gòu)目前信譽良好
木馬連接該域名后并不會請求和下載任何內(nèi)容,僅作網(wǎng)絡(luò)連通性測試。即便該域名被黑客掌握,也沒有危害。
針對秘密開關(guān)域名的內(nèi)部web服務(wù)器如何配置?
昨天我們報告發(fā)布后,已有多家企業(yè)用戶按照報告中的建議進行部署,效果顯著。
搭建針對秘密開關(guān)域名的具體過程如下:
修改內(nèi)網(wǎng)的DNS服務(wù)器配置,將www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析地址指向內(nèi)網(wǎng)一臺Web服務(wù)器,該服務(wù)器必須為內(nèi)網(wǎng)所有機器可達,且開放80端口。如果有多臺DNS服務(wù)器,則需要一一進行修改。
如果內(nèi)網(wǎng)沒有Web服務(wù)器,需臨時搭建一臺Web服務(wù)器且保證該服務(wù)器能夠正確響應(yīng)根目錄的Get請求,即保證web服務(wù)器
正常工作,同時監(jiān)聽端口設(shè)置必須為80。
關(guān)于WannaCry還有那些最新研究發(fā)現(xiàn)?
除了上述最新變種外,微步在線還發(fā)現(xiàn)一個新的WannaCry樣本,該樣本并未使用kill switch。經(jīng)分析發(fā)現(xiàn),該樣本屬人為修改patch了原樣本中kill switch相關(guān)代碼,經(jīng)測試該變種無法有效進行加密,因此我們認為該變種后續(xù)大范圍傳播的可能性極小。
該樣本的其他信息:
https://x.threatbook.cn/report/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
解決方案
周一上班前后企業(yè)IT管理員如何應(yīng)對?
對于企業(yè)的IT管理員和信息安全管理員,我們推薦按照以下舉措進行應(yīng)急響應(yīng):
周一上班前
鑒于該勒索軟件需要連通上述開關(guān)域名,才會停止加密。因此,如果內(nèi)網(wǎng)機器沒有外網(wǎng)訪問權(quán)限,建議客戶在內(nèi)網(wǎng)修改此開關(guān)域名的內(nèi)網(wǎng)解析,并且將解析IP指向在線的內(nèi)部web服務(wù)器;如果內(nèi)網(wǎng)機器具有外網(wǎng)訪問權(quán)限,則無須采取額外措施。
微軟已于2017年3月份修復(fù)了此次三個高危的零日漏洞,建議使用域控緊急推送微軟官方的補丁[1],修復(fù)上述漏洞。
WindowsXP、WindowsServer 2003微軟官方已經(jīng)緊急發(fā)布針對此次事件的特殊補丁[2],因此建議相關(guān)使用域控緊急推送上述補丁,修復(fù)漏洞。
在企業(yè)防火墻增加訪問控制策略,關(guān)閉TCP137、139、445、3389端口的互聯(lián)網(wǎng)訪問。
對于部署了微步在線威脅情報平臺的客戶,可檢查平臺的報警來迅速定位感染主機,制定緊急處置計劃,在上班后第一時間予以清理。
周一上班后
第一時間,通過各種渠道通知企業(yè)員工按照本報告中的“周一上班后企業(yè)員工如何開機?”的建議進行操作,防止被WannaCry勒索軟件攻擊。
監(jiān)控搭建好的web服務(wù)器的訪問請求,一旦發(fā)現(xiàn)新的訪問,說明極有可能對應(yīng)的內(nèi)網(wǎng)機器已經(jīng)被感染,需要緊急聯(lián)系對應(yīng)的員工進行處置,清理惡意軟件。
對于部署了微步在線威脅情報平臺的客戶,可通過平臺的報警監(jiān)控能力,關(guān)注是否有新增感染主機,防范風(fēng)險的擴大。
周一上班后企業(yè)員工如何開機?
周一上班后,為保證系統(tǒng)安全,建議企業(yè)員工按以下步驟開機:
拔掉網(wǎng)線
開機
啟用了Wifi的請開機后第一時間關(guān)閉Wifi
關(guān)閉重要端口,步驟如下(以Win7和Win10為例):
a) 進入電腦的”控制面板”界面
b) 啟用”Windows 防火墻”
c) 進入”高級設(shè)置”
d) 在”入站規(guī)則”里,新建規(guī)則
e) 選中“端口”,點擊“協(xié)議與端口”, 勾選“特定本地端口”,填寫 137,139,445,3389,端口數(shù)字以逗號間隔
f) 點擊下一步,選擇“阻止連接”
g) 之后下一步,最后給規(guī)則起個名字,即可。
5. 插入網(wǎng)線,聯(lián)網(wǎng)。從微軟官方網(wǎng)站下載相應(yīng)補丁
附錄 IOC
變種蠕蟲開關(guān)域名
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
變種蠕蟲Hash
c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
| 
