WannaCry黑客为何留下秘密开关？

针对5月12日爆发的WannaCry勒索软件攻击事件，微步在线第一时间发布了题为《WannaCry勒索蠕虫存在秘密开关！》的文章，指出该蠕虫存在一个秘密开关，触发即可免于感染。文章发布后，多个大型企业采用此方案缓解了攻击，为安装补丁赢取了时间。但同时有一些读者对我们提到的秘密开关表示疑惑，微步在线特进行如下分析。

黑客为什么设置这个秘密开关域名？

真相是：这并不是一个秘密开关，Sorry…

站在反病毒一线的安全研究人员应该了解，木马为了躲避一些自动化的恶意软件分析系统（比如沙箱），会在运行前检测当前的运行环境是一个真实用户的机器还是用于恶意样本分析的虚拟环境。如果检测发现是后者，木马会采取完全不同的运行路径，比如直接退出。此外，沙箱环境为了避免恶意样本运行过程中对外界网络环境产生危害，通常会将恶意样本产生的网络流量进行拦截，同时为了保证恶意样本能够正常运行，对于恶意样本的网络请求(如DNS、HTTP）会模拟返回响应结果。这样做存在一个缺点，如果一个恶意样本利用上述沙箱特性进行针对性的检测，在样本发现自己运行在一个虚拟的沙箱环境中后，为了避免被检测到，采取隐藏自己恶意行为的措施或者直接退出运行。

我们推断此次WannaCry勒索木马使用这个秘密开关域名的原因就是为了进行沙箱环境的检测，逃避沙箱的自动化检测，进而延长自己的存活时间。原因有以下两点：

• 根据微步在线威胁分析平台的数据显示，此秘密开关域名从未被攻击者注册过，而是被安全人员发现后抢注。如果作为控制开关，黑客应该自己注册和掌控该域名；

• 攻击者很可能是在WannaCry样本中内置一个随机的未注册的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, 该秘密开关域名的随机程度达到了97.77%，够不够随机？)，在运行过程中用于判断是否会有网络响应，进而判断是否运行在虚拟的沙箱环境中，如果是则直接退出。这也符合之前我们对该样本的分析结论。

 

是不是设置了秘密开关的域名解析，就不会被攻击了？

不是。黑客随时可能发起新的攻击，使用不含此开关的新蠕虫。所以设置好DNS疫苗缓解之后，尽快安装补丁才是王道！

已经出现了新的不使用秘密开关的变种吗？

暂时没有(截至发稿时)。从昨天晚上开始，我们注意到陆续有多个安全研究者声称发现了新的不使用秘密开关即可加密的变种，包括卡巴斯基于今天上午在twitter发表声明，并被媒体广泛引用。但根据微步在线的监控，截至发稿时，尚未发现此类变种。卡巴斯基也于今天中午删除了该twitter。

但微步在线的分析团队认为，新的变种随时会出现，我们将对此保持密切关注，并会将新的发现第一时间披露。

此外，即使出现新的变种，设置改秘密开关DNS解析，对于免疫当前版本蠕虫依然有效，所以微步在线推荐用户设置该DNS解析。

WannaCry木马是否存在潜伏期？

没有，木马执行后会首先连接秘密开关域名，如果连接成功，则直接退出，在没有其他人为因素触发（比如双击执行）的前提下，不会再执行，也不会再有危害。但如果受害者没有打补丁很可能会再次感染，重复这个过程。所以及时打补丁是关键。

设置了这个秘密开关域名的DNS解析，会不会反而被黑客控制？

不会。原因如下：

• 该域名已被安全机构掌握，该机构目前信誉良好

• 木马连接该域名后并不会请求和下载任何内容，仅作网络连通性测试。即便该域名被黑客掌握，也没有危害。

针对秘密开关域名的内部web服务器如何配置？

        昨天我们报告发布后，已有多家企业用户按照报告中的建议进行部署，效果显著。

搭建针对秘密开关域名的具体过程如下：

• 修改内网的DNS服务器配置，将www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析地址指向内网一台Web服务器，该服务器必须为内网所有机器可达，且开放80端口。如果有多台DNS服务器，则需要一一进行修改。

• 如果内网没有Web服务器，需临时搭建一台Web服务器且保证该服务器能够正确响应根目录的Get请求，即保证web服务器正常工作，同时监听端口设置必须为80。

周一上班前后企业IT管理员如何应对？

        对于企业的IT管理员和信息安全管理员，我们推荐按照以下举措进行应急响应：

周一上班前

• 鉴于该勒索软件需要连通上述开关域名，才会停止加密。因此，如果内网机器没有外网访问权限，建议客户在内网修改此开关域名的内网解析，并且将解析IP指向在线的内部web服务器；如果内网机器具有外网访问权限，则无须采取额外措施。

• 微软已于2017年3月份修复了此次三个高危的零日漏洞，建议使用域控紧急推送微软官方的补丁[1]，修复上述漏洞。

• WindowsXP、WindowsServer 2003微软官方已经紧急发布针对此次事件的特殊补丁[2]，因此建议相关使用域控紧急推送上述补丁，修复漏洞。

• 在企业防火墙增加访问控制策略，关闭TCP137、139、445、3389端口的互联网访问。

• 对于部署了微步在线威胁情报平台的客户，可检查平台的报警来迅速定位感染主机，制定紧急处置计划，在上班后第一时间予以清理。

周一上班后

• 第一时间，通过各种渠道通知企业员工按照本报告中的“周一上班后企业员工如何开机？”的建议进行操作，防止被WannaCry勒索软件攻击。

• 监控搭建好的web服务器的访问请求，一旦发现新的访问，说明极有可能对应的内网机器已经被感染，需要紧急联系对应的员工进行处置，清理恶意软件。

• 对于部署了微步在线威胁情报平台的客户，可通过平台的报警监控能力，关注是否有新增感染主机，防范风险的扩大。

周一上班后企业员工如何开机？

周一上班后，为保证系统安全，建议企业员工按以下步骤开机：

1.  拔掉网线

2.  开机

3.  启用了Wifi的请开机后第一时间关闭Wifi

4.  关闭重要端口，步骤如下(以Win7和Win10为例):

   a)  进入电脑的'控制面板'界面

   b)  启用'Windows 防火墙'

   c)  进入'高级设置'

   d)  在'入站规则'里，新建规则

e)  选中“端口”，点击“协议与端口”, 勾选“特定本地端口”，填写 137，139，445，3389，端口数字以逗号间隔

5.   插入网线，联网。从微软官方网站下载相应补丁

英文版本Windows请访问微软官网链接

6.  重启电脑

7.  如果感觉电脑异常，请立即断网并与系统管理员联系

---

[1] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[2] https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/