查看: 3829|回复: 5
收起左侧

[转帖] 花 8.29 英鎊拯救世界,WannaCrypt 勒索病毒中場休息

[复制链接]
Agu
发表于 2017-5-14 13:29:58 | 显示全部楼层 |阅读模式
本帖最后由 Agu 于 2017-5-14 14:15 编辑

轉載自:http://blog.darkthread.net/post- ... top-wannacrypt.aspx

在 WannaCrypt 災情傳出後,MalwareTech 取得在英國健保署肆虐的 WannaCrypt 勒索軟體樣本準備進行研究,丟進隔離環境執行時,發現 WannaCrypt 會一直嘗試存取某個未註冊的網域名稱。

MalwareTech 在研究惡意程式時習慣會註冊拿下這類網域名稱,目的在於蒐集感染數據及研究破解之道,於是這回先花 8.29 英鎊註冊再說。

有趣的是,註冊網域名稱生效後,他接到其他研究員詢問,表示樣本似乎出了問題,已無法重現感染行為。

之後經過反組譯勒索軟體以及模擬未註冊網域情況,驗證了「勒索軟體只要檢測到該網域存在就會停止執行」,而網域名稱寫死在程式裡(有些惡意軟體會使用演算法動態改變使用的網域名稱,或同時檢查多個網域名稱才決定),換言之,這個網域名稱是當初設計用來停止活動的開關(概念是在研究室的沙箱環境中,連不該存在的網域也會有回應,此時惡意軟體會停止活動避免行跡敗露),除非勒索軟體改版,這波所散佈的 WannaCrypt 勒索病毒,都將因為 MalwareTech 註冊網域而中止活動,這波的攻擊應該已告平息。

英文原文:https://www.malwaretech.com/2017 ... -cyber-attacks.html

原理解釋:
大意:用于分析的 sandbox 沙盒为了拦截并分析程序的网络连接,会把几乎任何域名(包括没注册的域名)都劫持给沙盒处理(从而让没注册的域名也表现得像注册并使用中) 于是程序可以故意连接/查询一个没被注册的域名,如果明明没被注册却显示为注册了,那就判断自身是运行在沙盒中。

https://twitter.com/shellexy/status/863463238867931136

剛剛測樣本區的http://bbs.kafan.cn/thread-2089185-1-1.html,雙擊不再觸發勒索行為。

目前新的變種已經沒有KillSwitch了(樣本區 @petr0vic 所發樣本)
http://thehackernews.com/2017/05 ... e-cyber-attack.html
houtiancheng
发表于 2017-5-14 13:49:40 | 显示全部楼层
如果作者还想搞事情改个域名就好= =
Agu
 楼主| 发表于 2017-5-14 13:56:51 | 显示全部楼层
本帖最后由 Agu 于 2017-5-14 14:12 编辑
houtiancheng 发表于 2017-5-14 13:49
如果作者还想搞事情改个域名就好= =

至少目前流出的樣本、攻擊手法暫時無效了,所以才說中場休息
JAYSIR
发表于 2017-5-14 13:59:48 | 显示全部楼层
为社么是这个域名呢?有趣,再度攻击应该也是及其困难的,毕竟有防护措施了
Agu
 楼主| 发表于 2017-5-14 14:02:28 | 显示全部楼层
JAYSIR 发表于 2017-5-14 13:59
为社么是这个域名呢?有趣,再度攻击应该也是及其困难的,毕竟有防护措施了

可以看我1F剛編輯的內容有說明
JAYSIR
发表于 2017-5-14 14:05:29 | 显示全部楼层
Agu 发表于 2017-5-14 14:02
可以看我1F剛編輯的內容有說明

谢谢,看到了。。。感觉是这货的一大败笔啊

终于平息了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 23:51 , Processed in 0.125292 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表