微步在線對5月12日爆發(fā)的WannaCry勒索蠕蟲攻擊事件保持密切的跟蹤。數小時前，微步在線捕獲到該蠕蟲的第一個真正意義上的新變種，我們對該新蠕蟲樣本進行了緊急分析，目前結論如下。
新的WannaCry蠕蟲有哪些變化？
微步在線分析發(fā)現，該變種蠕蟲仍然使用一個“秘密開關”域名來決定是否進行后續(xù)的加密勒索。與第一波攻擊中不同的是，此變種的開關域名發(fā)生了變化，新的開關域名為www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。對比發(fā)現，該開關域名與舊的開關域名僅有兩個字母的差別：

此外，根據微步在線的威脅分析平臺分析，新的開關域名也已被安全研究者接管，因此該變種傳播后的加密行為可以被有效遏制。該變種的制造者繼續(xù)使用kill switch版本的動機尚不明確。
值得注意的是，由于在國內部分地區(qū)暫時無法解析該域名，所以依然會出現攻擊后被加密的情況。
企業(yè)如何應對該變種蠕蟲？
根據新變種蠕蟲的特點，我們建議企業(yè)緊急采取如下措施:
l  新的開關域名在國內部分地區(qū)無法正常解析，根據蠕蟲的執(zhí)行邏輯，這會造成失陷機器被執(zhí)行加密勒索。因此，我們強烈建議增加對新的開關域名的內網DNS解析，并且保證對應的web服務器80端口能夠正常訪問。請注意，對于默認需配置proxy連接互聯(lián)網的機器，該蠕蟲將無法使用系統(tǒng)proxy設置連接互聯(lián)網和秘密開關域名，建議配置內網DNS解析。
l  盡快升級存在漏洞的機器，此次新的變種印證了我們之前的推測，新的WannaCry變種攻擊隨時可能來臨。具體的補丁升級步驟，請參考我們之前發(fā)布的報告。
該變種目前的影響有多大？
目前我們捕獲到該變種的兩個樣本：
https://x.threatbook.cn/report/c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
https://x.threatbook.cn/report/32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
同時，根據微步在線掌握的威脅情報信息，該變種已在互聯(lián)網進行傳播，而并非僅在實驗環(huán)境存在。但根據我們掌握的信息，目前新變種的攻擊范圍較小，不排除后續(xù)大規(guī)模爆發(fā)的可能性。
黑客為什么設置這個秘密開關域名？
真相是：這并不是一個秘密開關，Sorry…
站在反病毒一線的安全研究人員應該了解，木馬為了躲避一些自動化的惡意軟件分析系統(tǒng)（比如沙箱），會在運行前檢測當前的運行環(huán)境是一個真實用戶的機器還是用于惡意樣本分析的虛擬環(huán)境。如果檢測發(fā)現是后者，木馬會采取完全不同的運行路徑，比如直接退出。此外，沙箱環(huán)境為了避免惡意樣本運行過程中對外界網絡環(huán)境產生危害，通常會將惡意樣本產生的網絡流量進行攔截，同時為了保證惡意樣本能夠正常運行，對于惡意樣本的網絡請求(如DNS、HTTP）會模擬返回響應結果。這樣做存在一個缺點，如果一個惡意樣本利用上述沙箱特性進行針對性的檢測，在樣本發(fā)現自己運行在一個虛擬的沙箱環(huán)境中后，為了避免被檢測到，采取隱藏自己惡意行為的措施或者直接退出運行。
我們推斷此次WannaCry勒索木馬使用這個秘密開關域名的原因就是為了進行沙箱環(huán)境的檢測，逃避沙箱的自動化檢測，進而延長自己的存活時間。原因有以下兩點：
根據微步在線威脅分析平臺的數據顯示，此秘密開關域名從未被攻擊者注冊過，而是被安全人員發(fā)現后搶注。如果作為控制開關，黑客應該自己注冊和掌控該域名；
攻擊者很可能是在WannaCry樣本中內置一個隨機的未注冊的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，該秘密開關域名的隨機程度達到了97.77%，夠不夠隨機？)，在運行過程中用于判斷是否會有網絡響應，進而判斷是否運行在虛擬的沙箱環(huán)境中，如果是則直接退出。這也符合之前我們對該樣本的分析結論。
是不是設置了秘密開關的域名解析，就不會被攻擊了？
不是。黑客隨時可能發(fā)起新的攻擊，使用不含此開關的新蠕蟲。所以設置好DNS疫苗緩解之后，盡快安裝補丁才是王道！
WannaCry木馬是否存在潛伏期？
沒有，木馬執(zhí)行后會首先連接秘密開關域名，如果連接成功，則直接退出，在沒有其他人為因素觸發(fā)（比如雙擊執(zhí)行）的前提下，不會再執(zhí)行，也不會再有危害。但如果受害者沒有打補丁很可能會再次感染，重復這個過程。所以及時打補丁是關鍵。
設置了這個秘密開關域名的DNS解析，會不會反而被黑客控制？
不會。原因如下：
該域名已被安全機構掌握，該機構目前信譽良好
木馬連接該域名后并不會請求和下載任何內容，僅作網絡連通性測試。即便該域名被黑客掌握，也沒有危害。
針對秘密開關域名的內部web服務器如何配置？
昨天我們報告發(fā)布后，已有多家企業(yè)用戶按照報告中的建議進行部署，效果顯著。
搭建針對秘密開關域名的具體過程如下：
修改內網的DNS服務器配置，將www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析地址指向內網一臺Web服務器，該服務器必須為內網所有機器可達，且開放80端口。如果有多臺DNS服務器，則需要一一進行修改。
如果內網沒有Web服務器，需臨時搭建一臺Web服務器且保證該服務器能夠正確響應根目錄的Get請求，即保證web服務器

正常工作，同時監(jiān)聽端口設置必須為80。
關于WannaCry還有那些最新研究發(fā)現？
除了上述最新變種外，微步在線還發(fā)現一個新的WannaCry樣本，該樣本并未使用kill switch。經分析發(fā)現，該樣本屬人為修改patch了原樣本中kill switch相關代碼，經測試該變種無法有效進行加密，因此我們認為該變種后續(xù)大范圍傳播的可能性極小。

該樣本的其他信息：
https://x.threatbook.cn/report/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
解決方案
周一上班前后企業(yè)IT管理員如何應對？
對于企業(yè)的IT管理員和信息安全管理員，我們推薦按照以下舉措進行應急響應：
周一上班前
鑒于該勒索軟件需要連通上述開關域名，才會停止加密。因此，如果內網機器沒有外網訪問權限，建議客戶在內網修改此開關域名的內網解析，并且將解析IP指向在線的內部web服務器；如果內網機器具有外網訪問權限，則無須采取額外措施。
微軟已于2017年3月份修復了此次三個高危的零日漏洞，建議使用域控緊急推送微軟官方的補丁[1]，修復上述漏洞。
WindowsXP、WindowsServer 2003微軟官方已經緊急發(fā)布針對此次事件的特殊補丁[2]，因此建議相關使用域控緊急推送上述補丁，修復漏洞。
在企業(yè)防火墻增加訪問控制策略，關閉TCP137、139、445、3389端口的互聯(lián)網訪問。
對于部署了微步在線威脅情報平臺的客戶，可檢查平臺的報警來迅速定位感染主機，制定緊急處置計劃，在上班后第一時間予以清理。
周一上班后
第一時間，通過各種渠道通知企業(yè)員工按照本報告中的“周一上班后企業(yè)員工如何開機？”的建議進行操作，防止被WannaCry勒索軟件攻擊。
監(jiān)控搭建好的web服務器的訪問請求，一旦發(fā)現新的訪問，說明極有可能對應的內網機器已經被感染，需要緊急聯(lián)系對應的員工進行處置，清理惡意軟件。
對于部署了微步在線威脅情報平臺的客戶，可通過平臺的報警監(jiān)控能力，關注是否有新增感染主機，防范風險的擴大。
周一上班后企業(yè)員工如何開機？
周一上班后，為保證系統(tǒng)安全，建議企業(yè)員工按以下步驟開機：
拔掉網線
開機
啟用了Wifi的請開機后第一時間關閉Wifi
關閉重要端口，步驟如下(以Win7和Win10為例):
a)  進入電腦的”控制面板”界面
b)  啟用”Windows 防火墻”
c)  進入”高級設置”
d)  在”入站規(guī)則”里，新建規(guī)則

e)    選中“端口”，點擊“協(xié)議與端口”, 勾選“特定本地端口”，填寫 137，139，445，3389，端口數字以逗號間隔

f)    點擊下一步，選擇“阻止連接”

g)    之后下一步，最后給規(guī)則起個名字，即可。

5.    插入網線，聯(lián)網。從微軟官方網站下載相應補丁

附錄 IOC
變種蠕蟲開關域名
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
變種蠕蟲Hash
c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf