微步在线对5月12日爆发的WannaCry勒索蠕虫攻击事件保持密切的跟踪。数小时前,微步在线捕获到该蠕虫的第一个真正意义上的新变种,我们对该新蠕虫样本进行了紧急分析,目前结论如下。
新的WannaCry蠕虫有哪些变化?
微步在线分析发现,该变种蠕虫仍然使用一个“秘密开关”域名来决定是否进行后续的加密勒索。与第一波攻击中不同的是,此变种的开关域名发生了变化,新的开关域名为www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。对比发现,该开关域名与旧的开关域名仅有两个字母的差别:
此外,根据微步在线的威胁分析平台分析,新的开关域名也已被安全研究者接管,因此该变种传播后的加密行为可以被有效遏制。该变种的制造者继续使用kill switch版本的动机尚不明确。
值得注意的是,由于在国内部分地区暂时无法解析该域名,所以依然会出现攻击后被加密的情况。
企业如何应对该变种蠕虫?
根据新变种蠕虫的特点,我们建议企业紧急采取如下措施:
l 新的开关域名在国内部分地区无法正常解析,根据蠕虫的执行逻辑,这会造成失陷机器被执行加密勒索。因此,我们强烈建议增加对新的开关域名的内网DNS解析,并且保证对应的web服务器80端口能够正常访问。请注意,对于默认需配置proxy连接互联网的机器,该蠕虫将无法使用系统proxy设置连接互联网和秘密开关域名,建议配置内网DNS解析。
l 尽快升级存在漏洞的机器,此次新的变种印证了我们之前的推测,新的WannaCry变种攻击随时可能来临。具体的补丁升级步骤,请参考我们之前发布的报告。
该变种目前的影响有多大?
目前我们捕获到该变种的两个样本:
https://x.threatbook.cn/report/c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
https://x.threatbook.cn/report/32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
同时,根据微步在线掌握的威胁情报信息,该变种已在互联网进行传播,而并非仅在实验环境存在。但根据我们掌握的信息,目前新变种的攻击范围较小,不排除后续大规模爆发的可能性。
黑客为什么设置这个秘密开关域名?
真相是:这并不是一个秘密开关,Sorry…
站在反病毒一线的安全研究人员应该了解,木马为了躲避一些自动化的恶意软件分析系统(比如沙箱),会在运行前检测当前的运行环境是一个真实用户的机器还是用于恶意样本分析的虚拟环境。如果检测发现是后者,木马会采取完全不同的运行路径,比如直接退出。此外,沙箱环境为了避免恶意样本运行过程中对外界网络环境产生危害,通常会将恶意样本产生的网络流量进行拦截,同时为了保证恶意样本能够正常运行,对于恶意样本的网络请求(如DNS、HTTP)会模拟返回响应结果。这样做存在一个缺点,如果一个恶意样本利用上述沙箱特性进行针对性的检测,在样本发现自己运行在一个虚拟的沙箱环境中后,为了避免被检测到,采取隐藏自己恶意行为的措施或者直接退出运行。
我们推断此次WannaCry勒索木马使用这个秘密开关域名的原因就是为了进行沙箱环境的检测,逃避沙箱的自动化检测,进而延长自己的存活时间。原因有以下两点:
根据微步在线威胁分析平台的数据显示,此秘密开关域名从未被攻击者注册过,而是被安全人员发现后抢注。如果作为控制开关,黑客应该自己注册和掌控该域名;
攻击者很可能是在WannaCry样本中内置一个随机的未注册的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,该秘密开关域名的随机程度达到了97.77%,够不够随机?),在运行过程中用于判断是否会有网络响应,进而判断是否运行在虚拟的沙箱环境中,如果是则直接退出。这也符合之前我们对该样本的分析结论。
是不是设置了秘密开关的域名解析,就不会被攻击了?
不是。黑客随时可能发起新的攻击,使用不含此开关的新蠕虫。所以设置好DNS疫苗缓解之后,尽快安装补丁才是王道!
WannaCry木马是否存在潜伏期?
没有,木马执行后会首先连接秘密开关域名,如果连接成功,则直接退出,在没有其他人为因素触发(比如双击执行)的前提下,不会再执行,也不会再有危害。但如果受害者没有打补丁很可能会再次感染,重复这个过程。所以及时打补丁是关键。
设置了这个秘密开关域名的DNS解析,会不会反而被黑客控制?
不会。原因如下:
该域名已被安全机构掌握,该机构目前信誉良好
木马连接该域名后并不会请求和下载任何内容,仅作网络连通性测试。即便该域名被黑客掌握,也没有危害。
针对秘密开关域名的内部web服务器如何配置?
昨天我们报告发布后,已有多家企业用户按照报告中的建议进行部署,效果显著。
搭建针对秘密开关域名的具体过程如下:
修改内网的DNS服务器配置,将www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析地址指向内网一台Web服务器,该服务器必须为内网所有机器可达,且开放80端口。如果有多台DNS服务器,则需要一一进行修改。
如果内网没有Web服务器,需临时搭建一台Web服务器且保证该服务器能够正确响应根目录的Get请求,即保证web服务器
正常工作,同时监听端口设置必须为80。
关于WannaCry还有那些最新研究发现?
除了上述最新变种外,微步在线还发现一个新的WannaCry样本,该样本并未使用kill switch。经分析发现,该样本属人为修改patch了原样本中kill switch相关代码,经测试该变种无法有效进行加密,因此我们认为该变种后续大范围传播的可能性极小。
该样本的其他信息:
https://x.threatbook.cn/report/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
解决方案
周一上班前后企业IT管理员如何应对?
对于企业的IT管理员和信息安全管理员,我们推荐按照以下举措进行应急响应:
周一上班前
鉴于该勒索软件需要连通上述开关域名,才会停止加密。因此,如果内网机器没有外网访问权限,建议客户在内网修改此开关域名的内网解析,并且将解析IP指向在线的内部web服务器;如果内网机器具有外网访问权限,则无须采取额外措施。
微软已于2017年3月份修复了此次三个高危的零日漏洞,建议使用域控紧急推送微软官方的补丁[1],修复上述漏洞。
WindowsXP、WindowsServer 2003微软官方已经紧急发布针对此次事件的特殊补丁[2],因此建议相关使用域控紧急推送上述补丁,修复漏洞。
在企业防火墙增加访问控制策略,关闭TCP137、139、445、3389端口的互联网访问。
对于部署了微步在线威胁情报平台的客户,可检查平台的报警来迅速定位感染主机,制定紧急处置计划,在上班后第一时间予以清理。
周一上班后
第一时间,通过各种渠道通知企业员工按照本报告中的“周一上班后企业员工如何开机?”的建议进行操作,防止被WannaCry勒索软件攻击。
监控搭建好的web服务器的访问请求,一旦发现新的访问,说明极有可能对应的内网机器已经被感染,需要紧急联系对应的员工进行处置,清理恶意软件。
对于部署了微步在线威胁情报平台的客户,可通过平台的报警监控能力,关注是否有新增感染主机,防范风险的扩大。
周一上班后企业员工如何开机?
周一上班后,为保证系统安全,建议企业员工按以下步骤开机:
拔掉网线
开机
启用了Wifi的请开机后第一时间关闭Wifi
关闭重要端口,步骤如下(以Win7和Win10为例):
a) 进入电脑的”控制面板”界面
b) 启用”Windows 防火墙”
c) 进入”高级设置”
d) 在”入站规则”里,新建规则
e) 选中“端口”,点击“协议与端口”, 勾选“特定本地端口”,填写 137,139,445,3389,端口数字以逗号间隔
f) 点击下一步,选择“阻止连接”
g) 之后下一步,最后给规则起个名字,即可。
5. 插入网线,联网。从微软官方网站下载相应补丁
附录 IOC
变种蠕虫开关域名
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
变种蠕虫Hash
c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
|