用虚拟机试了局域网传染的WannaCry勒索软件

fakeviolation

UPDATE：重复了几次实验，感觉可能是这个版本在我的测试条件下有随机触发的Bug，主防有时候会不工作。似乎和感染途径没有太大关系，双击也有类似的现象。
有概率能成功防御：

但也有很大概率会防御失败，过程就是分割线下的。
还有另一种可能，就是蓝屏，这个是EternalBlue的锅：


====================================================================================================

环境：VMware Workstation 12.5
虚拟机A：Windows 7 x64 SP1，未打补丁，启用共享和网络发现（将网络位置设为专用网络），未安装VMware Tools
安装Kaspersky Internet Security 17.0.0.611d（安装包文件名：kis17.0.0.611zh-hans-cn_full.exe；数字签名时间‎2017‎年‎3‎月‎29‎日 18:20:04），未更新病毒库，禁用卡巴斯基防火墙中的LocalService (TCP)规则（它封禁了139、445等等端口）。
虚拟机B：Windows 7 x64 SP1，未打补丁，启用共享和网络发现（将网络位置设为专用网络），未安装VMware Tools
只拷了一个WannaCry样本。
测试过程除了获取卡巴试用授权的短暂十几秒，全程断开互联网，只有VMware的host-only局域网来连接两个虚拟机。

样本信息：文件名: mssecsvc.exe
大小: 3.55 MB (3,723,264 字节)
MD5: db349b97c37d22f5ea1d1841e3c89eb4
SHA-1: e889544aff85ffaf8b0d0da705105dee7c97fe26
SHA-256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c


结果：

防护失败

截图：

1.测试开始前，新建了一个Test.rtf当“肉票”诱饵：


2.病毒已经开干了，但还是没反应：


3.有反应了。如果手快一点，也许可能挽救部分文件，但我啥也没点，暂时让它继续跑：


4.广为人知的红色勒索窗口跳出来了：


5.点了关闭应用程序，然后按照提示，又点了清除并重启


6.【没截到图】卡巴在扫描前提示病毒库没更新，我选了不更新仍然继续，让它扫描，扫完了就自动重启了

7.最终的结果还是杯具，文件已经被删除，留下的是被加密的：


PS：还有一个槽点，如果无视了卡巴“清除并重启”的提示，好像有概率卡在卡巴主界面那里，点清除按钮也没反应。
PPS：EternalBlue看上去也不完美，我测试时，两台虚拟机都因为被攻击而蓝屏过（是的你没看错，这病毒连自身所在的机器都不放过，也会尝试传染，只是有Mutex，不会真的感染两次）
PPPS：有一次，用来传染的虚拟机B上，病毒把自己所在的机器整蓝屏了。在“靶机”虚拟机A上，卡巴成功检测到mssecsvc.exe了，也没看到文件被加密，但我也没截图，后来就直接恢复快照了……

fakeviolation

LZ的感想：
补洞才是硬道理
当然，防火墙也很重要

ysj963

曾经有人主防回滚成功的啊！这么看还不如用HIPS啊

fakeviolation

ysj963 发表于 2017-6-11 15:27
曾经有人主防回滚成功的啊！这么看还不如用HIPS啊

可能就是双击和局域网传染的区别吧。
别忘了……我这测试也没联网，大概只能模拟内网环境。

pal家族

66666故意关闭防火墙规则，断网测试主防啊。。

ccboxes

fakeviolation 发表于 2017-6-11 14:56
LZ的感想：
补洞才是硬道理
当然，防火墙也很重要

卡巴的主防会在可疑程序访问文档时自动备份，所以可以回滚被加密的文件，只是有个数和大小限制。如果你在第一个弹窗就点关闭并移除的话会触发回滚，所有更改都会还原，不会有任何残留。这个我是专门测试过的。

fakeviolation

ccboxes 发表于 2017-6-11 16:11
卡巴的主防会在可疑程序访问文档时自动备份，所以可以回滚被加密的文件，只是有个数和大小限制。如果你在 ...

并没有关闭并移除按钮，只有关闭应用程序按钮，实际上从卡巴的窗口弹出来到勒索窗口出现也不到一分钟。
我后来也点了关闭应用程序，然而并没有回滚。
可能这就是双击和局域网传染的不同吧。

ccboxes

fakeviolation 发表于 2017-6-11 16:22
并没有关闭并移除按钮，只有关闭应用程序按钮，实际上从卡巴的窗口弹出来到勒索窗口出现也不到一分钟。
...

你截得第三个图最下面一个按钮是啥。。。。。。。。。。

另外也没有区别，WannaCry我写过一篇小分析，作者使用“永恒之蓝”就只是代替了你双击病毒而已。

http://bbs.kafan.cn/thread-2089170-1-1.html

fakeviolation

ccboxes 发表于 2017-6-11 16:30
你截得第三个图最下面一个按钮是啥。。。。。。。。。。

另外也没有区别，WannaCry我写过一篇小分析， ...

好吧……确实眼瞎……
试了用XP SP3来当虚拟机B，感觉有更大概率出现在感染之初就成功防御的情况：

重启之前，会有类似系统文件损坏的现象：

我刚刚以为文件真的坏了……试了让卡巴完成扫描并重启，就恢复正常了。没有发现文件被加密。

而且根据抓包的结果，XP下病毒是有Bug的：虽然看到一串ARP，表面双击了样本的XP正在尝试感染同网段的其他机器，但尝试了约10个IP地址，就跳过了一大段后续的IP，直接跳到约120个IP之后了。一开始还发现传染没成功的情况，就是因为虚拟机A的Win7正好被分配到被意外跳过的IP地址上去了；后来改了IP地址才传染成功。

用Win7重试了几次，还是每次都防御成功，直接干掉mssecsvc.exe。
按理说应该能重复出主贴的结果啊……
不知道是不是病毒库或规则库一不小心被更新了。
现在重新安装卡巴再试一下……

把虚拟机A恢复了快照，重装了卡巴斯基，虚拟机B是Win7 SP1 x64，现在又重现出防御失败的情况了。
点了“关闭并移除应用程序”，也没回滚加密操作。按常理说，这俩按钮也不该有那么大区别吧，难道默认按钮不包含回滚操作？如果真有这设计，卡巴也太坑爹了吧……
其实看卡巴报毒的对象就知道了，我主贴截图里报毒的是@wanadecryptor@.exe，它的作用只有弹窗，把它干掉当然是没用的。

前面mssecsvc.exe释放病毒、进行局域网传染和扫随机IP传染时，还有tasksche.exe执行加密勒索时，主防都已经miss了……按理说也不该有这种结果，毕竟双击都可以防住的，不知道是不是概率性发生的bug。

liumeng1

这东西到底怎么防啊 不想关闭端口啊