微步在線對(duì)5月12日爆發(fā)的WannaCry勒索蠕蟲(chóng)攻擊事件保持密切的跟蹤。數(shù)小時(shí)前,微步在線捕獲到該蠕蟲(chóng)的第一個(gè)真正意義上的新變種,我們對(duì)該新蠕蟲(chóng)樣本進(jìn)行了緊急分析,目前結(jié)論如下。
新的WannaCry蠕蟲(chóng)有哪些變化?
微步在線分析發(fā)現(xiàn),該變種蠕蟲(chóng)仍然使用一個(gè)“秘密開(kāi)關(guān)”域名來(lái)決定是否進(jìn)行后續(xù)的加密勒索。與第一波攻擊中不同的是,此變種的開(kāi)關(guān)域名發(fā)生了變化,新的開(kāi)關(guān)域名為www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。對(duì)比發(fā)現(xiàn),該開(kāi)關(guān)域名與舊的開(kāi)關(guān)域名僅有兩個(gè)字母的差別:
此外,根據(jù)微步在線的威脅分析平臺(tái)分析,新的開(kāi)關(guān)域名也已被安全研究者接管,因此該變種傳播后的加密行為可以被有效遏制。該變種的制造者繼續(xù)使用kill switch版本的動(dòng)機(jī)尚不明確。
值得注意的是,由于在國(guó)內(nèi)部分地區(qū)暫時(shí)無(wú)法解析該域名,所以依然會(huì)出現(xiàn)攻擊后被加密的情況。
企業(yè)如何應(yīng)對(duì)該變種蠕蟲(chóng)?
根據(jù)新變種蠕蟲(chóng)的特點(diǎn),我們建議企業(yè)緊急采取如下措施:
l 新的開(kāi)關(guān)域名在國(guó)內(nèi)部分地區(qū)無(wú)法正常解析,根據(jù)蠕蟲(chóng)的執(zhí)行邏輯,這會(huì)造成失陷機(jī)器被執(zhí)行加密勒索。因此,我們強(qiáng)烈建議增加對(duì)新的開(kāi)關(guān)域名的內(nèi)網(wǎng)DNS解析,并且保證對(duì)應(yīng)的web服務(wù)器80端口能夠正常訪問(wèn)。請(qǐng)注意,對(duì)于默認(rèn)需配置proxy連接互聯(lián)網(wǎng)的機(jī)器,該蠕蟲(chóng)將無(wú)法使用系統(tǒng)proxy設(shè)置連接互聯(lián)網(wǎng)和秘密開(kāi)關(guān)域名,建議配置內(nèi)網(wǎng)DNS解析。
l 盡快升級(jí)存在漏洞的機(jī)器,此次新的變種印證了我們之前的推測(cè),新的WannaCry變種攻擊隨時(shí)可能來(lái)臨。具體的補(bǔ)丁升級(jí)步驟,請(qǐng)參考我們之前發(fā)布的報(bào)告。
該變種目前的影響有多大?
目前我們捕獲到該變種的兩個(gè)樣本:
https://x.threatbook.cn/report/c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
https://x.threatbook.cn/report/32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
同時(shí),根據(jù)微步在線掌握的威脅情報(bào)信息,該變種已在互聯(lián)網(wǎng)進(jìn)行傳播,而并非僅在實(shí)驗(yàn)環(huán)境存在。但根據(jù)我們掌握的信息,目前新變種的攻擊范圍較小,不排除后續(xù)大規(guī)模爆發(fā)的可能性。
黑客為什么設(shè)置這個(gè)秘密開(kāi)關(guān)域名?
真相是:這并不是一個(gè)秘密開(kāi)關(guān),Sorry…
站在反病毒一線的安全研究人員應(yīng)該了解,木馬為了躲避一些自動(dòng)化的惡意軟件分析系統(tǒng)(比如沙箱),會(huì)在運(yùn)行前檢測(cè)當(dāng)前的運(yùn)行環(huán)境是一個(gè)真實(shí)用戶的機(jī)器還是用于惡意樣本分析的虛擬環(huán)境。如果檢測(cè)發(fā)現(xiàn)是后者,木馬會(huì)采取完全不同的運(yùn)行路徑,比如直接退出。此外,沙箱環(huán)境為了避免惡意樣本運(yùn)行過(guò)程中對(duì)外界網(wǎng)絡(luò)環(huán)境產(chǎn)生危害,通常會(huì)將惡意樣本產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行攔截,同時(shí)為了保證惡意樣本能夠正常運(yùn)行,對(duì)于惡意樣本的網(wǎng)絡(luò)請(qǐng)求(如DNS、HTTP)會(huì)模擬返回響應(yīng)結(jié)果。這樣做存在一個(gè)缺點(diǎn),如果一個(gè)惡意樣本利用上述沙箱特性進(jìn)行針對(duì)性的檢測(cè),在樣本發(fā)現(xiàn)自己運(yùn)行在一個(gè)虛擬的沙箱環(huán)境中后,為了避免被檢測(cè)到,采取隱藏自己惡意行為的措施或者直接退出運(yùn)行。
我們推斷此次WannaCry勒索木馬使用這個(gè)秘密開(kāi)關(guān)域名的原因就是為了進(jìn)行沙箱環(huán)境的檢測(cè),逃避沙箱的自動(dòng)化檢測(cè),進(jìn)而延長(zhǎng)自己的存活時(shí)間。原因有以下兩點(diǎn):
根據(jù)微步在線威脅分析平臺(tái)的數(shù)據(jù)顯示,此秘密開(kāi)關(guān)域名從未被攻擊者注冊(cè)過(guò),而是被安全人員發(fā)現(xiàn)后搶注。如果作為控制開(kāi)關(guān),黑客應(yīng)該自己注冊(cè)和掌控該域名;
攻擊者很可能是在WannaCry樣本中內(nèi)置一個(gè)隨機(jī)的未注冊(cè)的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,該秘密開(kāi)關(guān)域名的隨機(jī)程度達(dá)到了97.77%,夠不夠隨機(jī)?),在運(yùn)行過(guò)程中用于判斷是否會(huì)有網(wǎng)絡(luò)響應(yīng),進(jìn)而判斷是否運(yùn)行在虛擬的沙箱環(huán)境中,如果是則直接退出。這也符合之前我們對(duì)該樣本的分析結(jié)論。
是不是設(shè)置了秘密開(kāi)關(guān)的域名解析,就不會(huì)被攻擊了?
不是。黑客隨時(shí)可能發(fā)起新的攻擊,使用不含此開(kāi)關(guān)的新蠕蟲(chóng)。所以設(shè)置好DNS疫苗緩解之后,盡快安裝補(bǔ)丁才是王道!
WannaCry木馬是否存在潛伏期?
沒(méi)有,木馬執(zhí)行后會(huì)首先連接秘密開(kāi)關(guān)域名,如果連接成功,則直接退出,在沒(méi)有其他人為因素觸發(fā)(比如雙擊執(zhí)行)的前提下,不會(huì)再執(zhí)行,也不會(huì)再有危害。但如果受害者沒(méi)有打補(bǔ)丁很可能會(huì)再次感染,重復(fù)這個(gè)過(guò)程。所以及時(shí)打補(bǔ)丁是關(guān)鍵。
設(shè)置了這個(gè)秘密開(kāi)關(guān)域名的DNS解析,會(huì)不會(huì)反而被黑客控制?
不會(huì)。原因如下:
該域名已被安全機(jī)構(gòu)掌握,該機(jī)構(gòu)目前信譽(yù)良好
木馬連接該域名后并不會(huì)請(qǐng)求和下載任何內(nèi)容,僅作網(wǎng)絡(luò)連通性測(cè)試。即便該域名被黑客掌握,也沒(méi)有危害。
針對(duì)秘密開(kāi)關(guān)域名的內(nèi)部web服務(wù)器如何配置?
昨天我們報(bào)告發(fā)布后,已有多家企業(yè)用戶按照?qǐng)?bào)告中的建議進(jìn)行部署,效果顯著。
搭建針對(duì)秘密開(kāi)關(guān)域名的具體過(guò)程如下:
修改內(nèi)網(wǎng)的DNS服務(wù)器配置,將www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析地址指向內(nèi)網(wǎng)一臺(tái)Web服務(wù)器,該服務(wù)器必須為內(nèi)網(wǎng)所有機(jī)器可達(dá),且開(kāi)放80端口。如果有多臺(tái)DNS服務(wù)器,則需要一一進(jìn)行修改。
如果內(nèi)網(wǎng)沒(méi)有Web服務(wù)器,需臨時(shí)搭建一臺(tái)Web服務(wù)器且保證該服務(wù)器能夠正確響應(yīng)根目錄的Get請(qǐng)求,即保證web服務(wù)器
正常工作,同時(shí)監(jiān)聽(tīng)端口設(shè)置必須為80。
關(guān)于WannaCry還有那些最新研究發(fā)現(xiàn)?
除了上述最新變種外,微步在線還發(fā)現(xiàn)一個(gè)新的WannaCry樣本,該樣本并未使用kill switch。經(jīng)分析發(fā)現(xiàn),該樣本屬人為修改patch了原樣本中kill switch相關(guān)代碼,經(jīng)測(cè)試該變種無(wú)法有效進(jìn)行加密,因此我們認(rèn)為該變種后續(xù)大范圍傳播的可能性極小。
該樣本的其他信息:
https://x.threatbook.cn/report/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
解決方案
周一上班前后企業(yè)IT管理員如何應(yīng)對(duì)?
對(duì)于企業(yè)的IT管理員和信息安全管理員,我們推薦按照以下舉措進(jìn)行應(yīng)急響應(yīng):
周一上班前
鑒于該勒索軟件需要連通上述開(kāi)關(guān)域名,才會(huì)停止加密。因此,如果內(nèi)網(wǎng)機(jī)器沒(méi)有外網(wǎng)訪問(wèn)權(quán)限,建議客戶在內(nèi)網(wǎng)修改此開(kāi)關(guān)域名的內(nèi)網(wǎng)解析,并且將解析IP指向在線的內(nèi)部web服務(wù)器;如果內(nèi)網(wǎng)機(jī)器具有外網(wǎng)訪問(wèn)權(quán)限,則無(wú)須采取額外措施。
微軟已于2017年3月份修復(fù)了此次三個(gè)高危的零日漏洞,建議使用域控緊急推送微軟官方的補(bǔ)丁[1],修復(fù)上述漏洞。
WindowsXP、WindowsServer 2003微軟官方已經(jīng)緊急發(fā)布針對(duì)此次事件的特殊補(bǔ)丁[2],因此建議相關(guān)使用域控緊急推送上述補(bǔ)丁,修復(fù)漏洞。
在企業(yè)防火墻增加訪問(wèn)控制策略,關(guān)閉TCP137、139、445、3389端口的互聯(lián)網(wǎng)訪問(wèn)。
對(duì)于部署了微步在線威脅情報(bào)平臺(tái)的客戶,可檢查平臺(tái)的報(bào)警來(lái)迅速定位感染主機(jī),制定緊急處置計(jì)劃,在上班后第一時(shí)間予以清理。
周一上班后
第一時(shí)間,通過(guò)各種渠道通知企業(yè)員工按照本報(bào)告中的“周一上班后企業(yè)員工如何開(kāi)機(jī)?”的建議進(jìn)行操作,防止被WannaCry勒索軟件攻擊。
監(jiān)控搭建好的web服務(wù)器的訪問(wèn)請(qǐng)求,一旦發(fā)現(xiàn)新的訪問(wèn),說(shuō)明極有可能對(duì)應(yīng)的內(nèi)網(wǎng)機(jī)器已經(jīng)被感染,需要緊急聯(lián)系對(duì)應(yīng)的員工進(jìn)行處置,清理惡意軟件。
對(duì)于部署了微步在線威脅情報(bào)平臺(tái)的客戶,可通過(guò)平臺(tái)的報(bào)警監(jiān)控能力,關(guān)注是否有新增感染主機(jī),防范風(fēng)險(xiǎn)的擴(kuò)大。
周一上班后企業(yè)員工如何開(kāi)機(jī)?
周一上班后,為保證系統(tǒng)安全,建議企業(yè)員工按以下步驟開(kāi)機(jī):
拔掉網(wǎng)線
開(kāi)機(jī)
啟用了Wifi的請(qǐng)開(kāi)機(jī)后第一時(shí)間關(guān)閉Wifi
關(guān)閉重要端口,步驟如下(以Win7和Win10為例):
a) 進(jìn)入電腦的”控制面板”界面
b) 啟用”Windows 防火墻”
c) 進(jìn)入”高級(jí)設(shè)置”
d) 在”入站規(guī)則”里,新建規(guī)則
e) 選中“端口”,點(diǎn)擊“協(xié)議與端口”, 勾選“特定本地端口”,填寫 137,139,445,3389,端口數(shù)字以逗號(hào)間隔
f) 點(diǎn)擊下一步,選擇“阻止連接”
g) 之后下一步,最后給規(guī)則起個(gè)名字,即可。
5. 插入網(wǎng)線,聯(lián)網(wǎng)。從微軟官方網(wǎng)站下載相應(yīng)補(bǔ)丁
附錄 IOC
變種蠕蟲(chóng)開(kāi)關(guān)域名
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
變種蠕蟲(chóng)Hash
c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
| 
