查看: 8733|回复: 56
收起左侧

[讨论] 对于近期爆发的勒索病毒WanaCrypt0r的分析(小白向,定性)

  [复制链接]
ccboxes
发表于 2017-5-14 10:42:46 | 显示全部楼层 |阅读模式
本帖最后由 ccboxes 于 2017-5-14 15:50 编辑

先说好,我不算啥大神,只是看过了几个厂商分析报告,外加虚拟机看过一遍行为后,给大家一个非代码级的简短定性分析。
先说结论:在编写水平上:狗尾续貂,作者经验不足。WanaCrypt0r之所以能搞个大新闻,侵袭上百国家的电脑,在于它可能是全球第一个带有蠕虫性质的勒索病毒。



所谓蠕虫,就是指可以通过网络自动传播自己的病毒,最原始的蠕虫在感染一台计算机后,会操控受害者电脑上的邮件客户端,给所有联系人发送带有病毒的邮件,通过这种一传十、十传百方式,蠕虫能在短时间内爆发,感染数百万台无防备的电脑。而WanaCrypt0r可谓是极高水准的蠕虫,拥有自动化入侵的能力,其在感染后,会利用今年3月被曝光的Windows漏洞自动入侵局域网内所有开放445端口的电脑,植入自己。鉴于很多人都停留在Win7,并且不打补丁,如果局域网中没有封锁445,其后果不堪设想。

看到这里,你可能会有疑问,为什么这么强大的病毒却是狗尾续貂呢?

原因就在于,该病毒最精华的部分,也就是让它带有蠕虫性质的自动入侵模块,其实是照搬自今年3月被维基解密曝光的NSA(美国国家安全局)的网络武器——“永恒之蓝“。 而在“永恒之蓝”完成入侵后,接下来的东西就暴露了作者的水平。

单就“永恒之蓝”,其入侵手段非常完美,利用远程执行漏洞,使用Shellcode获取管理员权限,整个过程都隐藏在内存里,,不进行任何文件读写,完美规避安软的文件扫描(部分安软的基于进程的内存扫描也很难扫到),那么这个拥有管理员权限,几乎可以为所欲为的Shell做了什么呢?仅仅只是联网下载病毒本体到ProgramData文件夹,并将其执行,然后就
自动退出了。。。。。。。。。。。
自动退出了。。。。。。。。。。。
自动退出了。。。。。。。。。。。
合着国家级的入侵工具,你就拿它当下载器?
亏得刚刚避过了安软的文件扫描,一下载文件到硬盘,完全破功,很多静态扫描强的安软,这时候很可能就把本体杀掉了。至于下回来的本体,就是一普通的勒索加密,用的是自加密的最初级加壳方式,直接使用命令获取所有文件的写权限,动作之大,只能说掩耳盗铃,视安软的主防于无物,从下面的测试里也能看出,断网状态、16年12月行为特征库的各大安软就纷纷将其斩于马下。更无语的是,该病毒是先在本地生成加密密钥,加密完才上传至服务器,察觉的快的话,没有杀软的情况下也可能挽救文件。一句狗尾续貂,我想再贴切不过了。

测试:http://bbs.kafan.cn/thread-2089134-1-1.html


此次爆发,固然有“永恒之蓝”的加成,但更大程度上是源于大家淡薄的安全意识。请打好补丁,安装大厂安软,可保数据安全。



评分

参与人数 6分享 +3 人气 +6 收起 理由
fireherman + 1 版区有你更精彩: )
屁颠屁颠 + 3 + 1 版区有你更精彩: )
Q1628393554 + 1 我还以为直接利用漏洞加密
HEMM + 1 好高森~是不是说445的小秘密被黑客发现惹!
root1605 + 1 版区有你更精彩: )

查看全部评分

zip95
发表于 2017-5-14 10:46:51 | 显示全部楼层
我也是觉得是安全意识问题(什么图省事用破解来关UAC防火墙杀软还有关闭自动更新)。熊猫那个不也是╮(╯▽╰)╭
root1605
发表于 2017-5-14 10:52:13 | 显示全部楼层
前排支持一个。。。

某厂可以借机秀一下快速“响应”了
哥在东北玩泥巴
发表于 2017-5-14 11:04:36 | 显示全部楼层
还是BD卡巴信得过啊,我是说综合实力。
JAYSIR
发表于 2017-5-14 15:35:56 | 显示全部楼层
哥在东北玩泥巴 发表于 2017-5-14 11:04
还是BD卡巴信得过啊,我是说综合实力。

DR web好像都启发扫描到了,可怕

吓得我赶紧买了个8块正版保平安
君陌潇
发表于 2017-5-14 15:37:56 | 显示全部楼层
一个路由器ACL就能解决的问题,还闹这么大
Agu
发表于 2017-5-14 15:47:58 | 显示全部楼层
是445埠不是455啊
ccboxes
 楼主| 发表于 2017-5-14 15:50:00 | 显示全部楼层
Agu 发表于 2017-5-14 15:47
是445埠不是455啊

笔误,谢谢
aiyaya8
发表于 2017-5-14 15:50:18 | 显示全部楼层
云和主防的重要性
欧阳宣
发表于 2017-5-14 16:15:19 | 显示全部楼层
感觉进程在内存中不敢有太多动作也就是怕主防,作者估计该做的事做完能不触发ATC就不错了

这次其实也就是给那些宣扬打补丁没用还会让系统变卡的人上了一课

评分

参与人数 1人气 +1 收起 理由
柯林 + 1 人脑

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-21 02:09 , Processed in 0.120873 second(s), 8 queries , MemCache On.

快速回复 返回顶部 返回列表