有秘密网

有秘密网
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
WannaCry变种出现新的秘密开关！为何会有秘密开关？ Threatbook认证厂商2017-05-15共460692人围观 ，发现 11 个不明物体 系统安全
微步在线对5月12日爆发的WannaCry勒索蠕虫攻击事件保持密切的跟踪。数小时前，微步在线捕获到该蠕虫的第一个真正意义上的新变种，我们对该新蠕虫样本进行了紧急分析，目前结论如下。

新的WannaCry蠕虫有哪些变化？
微步在线分析发现，该变种蠕虫仍然使用一个“秘密开关”域名来决定是否进行后续的加密勒索。与第一波攻击中不同的是，此变种的开关域名发生了变化，新的开关域名为www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。对比发现，该开关域名与旧的开关域名仅有两个字母的差别：

1.png

此外，根据微步在线的威胁分析平台分析，新的开关域名也已被安全研究者接管，因此该变种传播后的加密行为可以被有效遏制。该变种的制造者继续使用kill switch版本的动机尚不明确。

值得注意的是，由于在国内部分地区暂时无法解析该域名，所以依然会出现攻击后被加密的情况。

企业如何应对该变种蠕虫？
根据新变种蠕虫的特点，我们建议企业紧急采取如下措施:

l 新的开关域名在国内部分地区无法正常解析，根据蠕虫的执行逻辑，这会造成失陷机器被执行加密勒索。因此，我们强烈建议增加对新的开关域名的内网DNS解析，并且保证对应的web服务器80端口能够正常访问。请注意，对于默认需配置proxy连接互联网的机器，该蠕虫将无法使用系统proxy设置连接互联网和秘密开关域名，建议配置内网DNS解析。

l 尽快升级存在漏洞的机器，此次新的变种印证了我们之前的推测，新的WannaCry变种攻击随时可能来临。具体的补丁升级步骤，请参考我们之前发布的报告。

该变种目前的影响有多大？
目前我们捕获到该变种的两个样本：

https://x.threatbook.cn/report/c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6

https://x.threatbook.cn/report/32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf

同时，根据微步在线掌握的威胁情报信息，该变种已在互联网进行传播，而并非仅在实验环境存在。但根据我们掌握的信息，目前新变种的攻击范围较小，不排除后续大规模爆发的可能性。

黑客为什么设置这个秘密开关域名？
真相是：这并不是一个秘密开关，Sorry…

站在反病毒一线的安全研究人员应该了解，木马为了躲避一些自动化的恶意软件分析系统（比如沙箱），会在运行前检测当前的运行环境是一个真实用户的机器还是用于恶意样本分析的虚拟环境。如果检测发现是后者，木马会采取完全不同的运行路径，比如直接退出。此外，沙箱环境为了避免恶意样本运行过程中对外界网络环境产生危害，通常会将恶意样本产生的网络流量进行拦截，同时为了保证恶意样本能够正常运行，对于恶意样本的网络请求(如DNS、HTTP）会模拟返回响应结果。这样做存在一个缺点，如果一个恶意样本利用上述沙箱特性进行针对性的检测，在样本发现自己运行在一个虚拟的沙箱环境中后，为了避免被检测到，采取隐藏自己恶意行为的措施或者直接退出运行。

我们推断此次WannaCry勒索木马使用这个秘密开关域名的原因就是为了进行沙箱环境的检测，逃避沙箱的自动化检测，进而延长自己的存活时间。原因有以下两点：

根据微步在线威胁分析平台的数据显示，此秘密开关域名从未被攻击者注册过，而是被安全人员发现后抢注。如果作为控制开关，黑客应该自己注册和掌控该域名；

攻击者很可能是在WannaCry样本中内置一个随机的未注册的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，该秘密开关域名的随机程度达到了97.77%，够不够随机？)，在运行过程中用于判断是否会有网络响应，进而判断是否运行在虚拟的沙箱环境中，如果是则直接退出。这也符合之前我们对该样本的分析结论。

是不是设置了秘密开关的域名解析，就不会被攻击了？
不是。黑客随时可能发起新的攻击，使用不含此开关的新蠕虫。所以设置好DNS疫苗缓解之后，尽快安装补丁才是王道！

WannaCry木马是否存在潜伏期？
没有，木马执行后会首先连接秘密开关域名，如果连接成功，则直接退出，在没有其他人为因素触发（比如双击执行）的前提下，不会再执行，也不会再有危害。但如果受害者没有打补丁很可能会再次感染，重复这个过程。所以及时打补丁是关键。

设置了这个秘密开关域名的DNS解析，会不会反而被黑客控制？
不会。原因如下：

该域名已被安全机构掌握，该机构目前信誉良好

木马连接该域名后并不会请求和下载任何内容，仅作网络连通性测试。即便该域名被黑客掌握，也没有危害。

针对秘密开关域名的内部web服务器如何配置？
昨天我们报告发布后，已有多家企业用户按照报告中的建议进行部署，效果显著。

搭建针对秘密开关域名的具体过程如下：

修改内网的DNS服务器配置，将www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析地址指向内网一台Web服务器，该服务器必须为内网所有机器可达，且开放80端口。如果有多台DNS服务器，则需要一一进行修改。

如果内网没有Web服务器，需临时搭建一台Web服务器且保证该服务器能够正确响应根目录的Get请求，即保证web服务器正常工作，同时监听端口设置必须为80。

关于WannaCry还有那些最新研究发现？
除了上述最新变种外，微步在线还发现一个新的WannaCry样本，该样本并未使用kill switch。经分析发现，该样本属人为修改patch了原样本中kill switch相关代码，经测试该变种无法有效进行加密，因此我们认为该变种后续大范围传播的可能性极小。

2.png

该样本的其他信息：

https://x.threatbook.cn/report/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd

解决方案
周一上班前后企业IT管理员如何应对？
对于企业的IT管理员和信息安全管理员，我们推荐按照以下举措进行应急响应：

周一上班前

鉴于该勒索软件需要连通上述开关域名，才会停止加密。因此，如果内网机器没有外网访问权限，建议客户在内网修改此开关域名的内网解析，并且将解析IP指向在线的内部web服务器；如果内网机器具有外网访问权限，则无须采取额外措施。

微软已于2017年3月份修复了此次三个高危的零日漏洞，建议使用域控紧急推送微软官方的补丁[1]，修复上述漏洞。

WindowsXP、WindowsServer 2003微软官方已经紧急发布针对此次事件的特殊补丁[2]，因此建议相关使用域控紧急推送上述补丁，修复漏洞。

在企业防火墙增加访问控制策略，关闭TCP137、139、445、3389端口的互联网访问。

对于部署了微步在线威胁情报平台的客户，可检查平台的报警来迅速定位感染主机，制定紧急处置计划，在上班后第一时间予以清理。

周一上班后

第一时间，通过各种渠道通知企业员工按照本报告中的“周一上班后企业员工如何开机？”的建议进行操作，防止被WannaCry勒索软件攻击。

监控搭建好的web服务器的访问请求，一旦发现新的访问，说明极有可能对应的内网机器已经被感染，需要紧急联系对应的员工进行处置，清理恶意软件。

对于部署了微步在线威胁情报平台的客户，可通过平台的报警监控能力，关注是否有新增感染主机，防范风险的扩大。

周一上班后企业员工如何开机？

周一上班后，为保证系统安全，建议企业员工按以下步骤开机：

拔掉网线

开机

启用了Wifi的请开机后第一时间关闭Wifi

关闭重要端口，步骤如下(以Win7和Win10为例):

a) 进入电脑的”控制面板”界面

b) 启用”Windows 防火墙”

c) 进入”高级设置”

d) 在”入站规则”里，新建规则

1wb.png

e) 选中“端口”，点击“协议与端口”, 勾选“特定本地端口”，填写 137，139，445，3389，端口数字以逗号间隔

2wb.png

f) 点击下一步，选择“阻止连接”

3wb.png

g) 之后下一步，最后给规则起个名字，即可。

4wb.png

5. 插入网线，联网。从微软官方网站下载相应补丁

wb4.png

附录 IOC
变种蠕虫开关域名

www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

变种蠕虫Hash
c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6

32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf

*本文作者：微步在线，转载请注明来自FreeBuf.COM

Threatbook
Threatbook
20 篇文章
等级： 5级
||
上一篇：Wannacry蠕虫勒索软件处置手册下一篇：关于勒索病毒WannaCry的8个真相
发表评论已有 11 条评论

夜尽天明 (6级) 千秋邈矣独留我，百战归来再读书 2017-05-15回复 1楼
人为的使用汇编指令把网络开关给NOP掉，那不就是一个新变种了？NOP掉这个域名，

亮了(2)

asd 2017-05-15回复
@ 夜尽天明 就这么改，钱也不是你赚了

亮了(4)

ddd 2017-05-15回复
@ asd 把硬编码的钱包地址改掉就行了

亮了(3)

muliang.wang 2017-05-15回复 2楼
朋友圈陆续传出中毒图片

亮了(3)

luxiong730 (1级) 2017-05-15回复 3楼
因为时间差的关系，我估计是中国时间星期二。

亮了(0)

滴娃一分坏蛋零分 2017-05-15回复 4楼
ICANN或成最大赢家[并不简单]

亮了(1)

V1nc3nt_sec 2017-05-15回复 5楼
赞微步

亮了(0)

ccxh (1级) 2017-05-15回复 6楼
我觉得可以这样，每次运行时自动生成一个随机域名去尝试访问，这样不是好了不少吗？

亮了(4)

围观群众A 2017-05-16回复 7楼
这个玩笑开得有点大吧，谁家把ANTI沙箱的代码写第一句啊。

亮了(1)

千秋丶千年 (4级) 2017-05-22回复 8楼
谁来给我讲讲怎么通过能否访问不存在的域名判断是不是沙箱？

亮了(0)

千秋丶千年 (4级) 2017-05-22回复
@ 千秋丶千年 通常会将恶意样本产生的网络流量进行拦截，同时为了保证恶意样本能够正常运行，对于恶意样本的网络请求(如DNS、HTTP）会模拟返回响应结果。看到了。。

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
Threatbook
Threatbook认证厂商

国内首家专注于安全威胁情报的创业公司

20
文章数
2
评论数
最近文章
WannaMine僵而不死：假装被美国土安全局查封
2018.10.26

APT32“海莲花”近期多平台攻击活动：熟悉的手段，全新的IOC
2018.10.18

聚焦网络威胁与情报落地，2018网络安全分析与情报大会揭幕在即
2018.07.31

浏览更多
相关阅读
WannaCry变种出现新的秘密开关！为何会有秘密开关？CNNVD关于WannaCry勒索软件攻击事件的分析报告WannaCry变种导致系统蓝屏分析及防护措施朝鲜否认操纵WannaCry事件，称美国刻意制造妖魔论解读Wannacry背后的匿名网络
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank