蓝盾安全实验室基于沙箱技术对WannaCry勒索病毒的行为分析

时间: 2017-05-19 16:22:43 来源:   网友评论 0
  • 一、WannaCry简介

一、WannaCry简介

WannaCry勒索病毒自5月12日起在全球范围内大面积传播,目前已有150多个国家和地区的30万台电脑遭该勒索病毒感染,我国部分高校内网、大型企业内网和政府机构专网遭受攻击。一旦勒索病毒发动攻击并攻击成功,损失几乎无法阻挡。被感染病毒电脑中的文件会被加密,需支付巨额赎金才能恢复数据,然而也可能会有支付了赎金却被骗的情况发生。

涉及开放445端口且没有及时安装MS17-010补丁的客户端和服务器系统都将可能面临此威胁。MS17-010漏洞主要影响以下操作系统:Windows 2000,Windows 2003,Windows2008,Windows2012,Windows XP,Windows Vista,Windows7,Windows8,Windows10。

该勒索病毒主要具有2显著特性:

· 蠕虫特性:利用微软Windows现存漏洞,以进行内外网传播

· 勒索特性:加密用户重要文件,以索取赎金

蠕虫特性分析:

若该域名可成功连接,则退出。(注:此“Kill Switch”及相应机制在后续病毒变种中消失);

如上述域名无法访问,则会继续恶意软件程序逻辑;

· 释放资源到C:\WINDOWS目录下的tasksche.exe,并将其启动;

· 蠕虫病毒服务启动后,会利用MS17-010漏洞进行传播。传播分为两种渠道,一种是局域网传播,另一种是公网传播;

· 病毒会根据用户计算机内网IP,生成覆盖整个局域网网段表,然后循环依次尝试攻击。然后使用漏洞,注入到被攻击计算机中,释放资源到被攻击计算机“C:Windows\mssecsvc.exe”,并执行;

· 被攻击的计算机包含病毒的完整功能,除了会被勒索,还会继续使用MS17-010漏洞进行传播。传播速度快,是该病毒短时间内大规模爆发的主要原因。

勒索特性分析:

该程序会释放以下一组相关文件:

· taskdl.exe:删除临时目录下的所有“*.WNCRYT”扩展名的临时文件

· taskse.exe:以任意session运行指定程序

· u.wnry:解密程序,释放后名为@WanaDecryptor@.exe

· b.wnry:勒索图片资源

· s.wnry:包含洋葱路由器组件的压缩包(病毒作者将勒索服务器搭建在”暗网”,需要通过tor.exe和服务器进行通信)

· c.wnry:洋葱路由器地址信息

· t.wnry:解密后得到加密文件主要逻辑代码

· r.wnry:勒索Q&A

二、沙箱技术对WannaCry恶意软件进行行为分析

\

截图1:对WanaCry及其变种进行动态行为分析

\

截图2: 受感染进程侦测

\

截图3: 勒索病毒生成文件追踪

\

截图4:通过加密用户数据文件已达到勒索目的

\

截图5:对WannaCry 中特定Kill Switch的探测

三、蓝盾基于沙箱技术对WannaCry恶意软件的风险评估

o 远程接入

o 包含远程桌面字符串

o 读取终端服务相应Keys(常与RDP相关)

o 在非常规端口上使用网络协议(如位于主机xxx.xx.xx.xxx:9003的TCP异常流量)

o 勒索软件

o 删除大量镜像(通常用在勒索软件中)

o 检测到此文件为勒索软件的一系列隐含指标

o 持久性

o 关闭操作系统的启动修复功能

o 通过在寄存器中设置/创建1个或多个值以修改自动运行功能

o 在程序运行中,复制大量进程

o 指纹痕迹

o 找到若干文件包含Windows用户名

o 通过Windows Management Instrumentation Command line服务读取系统信息

o 传播性

o 打开 MountPointManager(通常用于侦测其他感染位置)

o TCP协议,445端口的流量异常

o 网络行为

o 连接约14个远程服务器/主机,分部在7个国家中

o 文件行为

o 在Windows根目录下生成可执行文件

o 生成新PE文件

o 更改文件时间属性

o 其他隐含指标(IoCs)

o 外部系统源

§ 本样本被大量杀毒引擎标定为恶意

o 通用:

§ 在样本运行过程中释放的文件被大量杀毒引擎标识为恶意(如u.wnry)

§ 在样本运行过程中有若干进程被大量杀毒引擎标识为恶意(如taskdl.exe)

四、蓝盾沙箱技术

沙箱针对企业或政府单位在网络中传送的且FW、AV和IPS无法用特征码识别的未知文件进行抓取并传送至沙箱中,进行动态行为分析结果判断出其危害特性,与企业或政府单位的安全系统进行联动更新安全库,阻止恶意文件在网络和电脑上传播,从而增强网络防疫。

沙箱以动态分析将恶意样例引入虚拟环境,动态运行及解析恶意样例,通过分析样例记录其动态行为来判断样例中是否包括恶意行为,其中动态行为包括:

· 恶意样例内部函数及WindowsAPI调用记录日志;

· 对系统注册表、进程、文件、网络、服务、进程注入及互斥等操作(增删改查)的监测记录;

· 对加壳恶意样例进行脱壳产生内存dump文件,以便为第三方安全产品对恶意文件进行家族分类;

· 产生易读的总结报告及详细的日志信息。

此沙箱有别于其他传统沙箱的技术优点有:

o 严重程度侦测模型及风险指数预测;

o 成本低;

o 反沙箱逃逸技术的合理利用;

o 无Windows系统API钩子,反检测;

o 高检测率;

o 低误报率;

o Shellcode的分析及URL双引擎分析;

o 采用最新docker技术,易于部署;

o 多种结果输出接口如json, ioc,与第三方安全产品集成容易;

o 支持云部署和任何类型虚拟机;

o 支持文件与其依赖文件一同沙箱分析,避免单文件无法运行问题(如a.exe+b.dll+c.dat等);

o 支持多种文件类型;

o 支持用户镜像定制及多种操作系统x86和x64(WindowsXP,Windows7,Windows8.1,Windows10),可使沙箱分析环境与真实用户环境保持一致以便发现0Day攻击。


本文为企业推广,本网站不做任何建议,仅提供参考,作为信息展示!

[收藏] [打印] [关闭] [返回顶部]


分享到:
本文来源: 作者: (责任编辑:bianji2)
  •  验证码:
热点文章
中国贸易金融网,最大最专业的中文贸易金融平台