针对5月12日爆发的WannaCry勒索软件攻击事件,微步在线第一时间发布了题为《WannaCry勒索蠕虫存在秘密开关!》的文章,指出该蠕虫存在一个秘密开关,触发即可免于感染。文章发布后,多个大型企业采用此方案缓解了攻击,为安装补丁赢取了时间。但同时有一些读者对我们提到的秘密开关表示疑惑,微步在线特进行如下分析。 黑客为什么设置这个秘密开关域名?真相是:这并不是一个秘密开关,Sorry… 站在反病毒一线的安全研究人员应该了解,木马为了躲避一些自动化的恶意软件分析系统(比如沙箱),会在运行前检测当前的运行环境是一个真实用户的机器还是用于恶意样本分析的虚拟环境。如果检测发现是后者,木马会采取完全不同的运行路径,比如直接退出。此外,沙箱环境为了避免恶意样本运行过程中对外界网络环境产生危害,通常会将恶意样本产生的网络流量进行拦截,同时为了保证恶意样本能够正常运行,对于恶意样本的网络请求(如DNS、HTTP)会模拟返回响应结果。这样做存在一个缺点,如果一个恶意样本利用上述沙箱特性进行针对性的检测,在样本发现自己运行在一个虚拟的沙箱环境中后,为了避免被检测到,采取隐藏自己恶意行为的措施或者直接退出运行。 我们推断此次WannaCry勒索木马使用这个秘密开关域名的原因就是为了进行沙箱环境的检测,逃避沙箱的自动化检测,进而延长自己的存活时间。原因有以下两点:
是不是设置了秘密开关的域名解析,就不会被攻击了?不是。黑客随时可能发起新的攻击,使用不含此开关的新蠕虫。所以设置好DNS疫苗缓解之后,尽快安装补丁才是王道! 已经出现了新的不使用秘密开关的变种吗?暂时没有(截至发稿时)。从昨天晚上开始,我们注意到陆续有多个安全研究者声称发现了新的不使用秘密开关即可加密的变种,包括卡巴斯基于今天上午在twitter发表声明,并被媒体广泛引用。但根据微步在线的监控,截至发稿时,尚未发现此类变种。卡巴斯基也于今天中午删除了该twitter。 但微步在线的分析团队认为,新的变种随时会出现,我们将对此保持密切关注,并会将新的发现第一时间披露。
此外,即使出现新的变种,设置改秘密开关DNS解析,对于免疫当前版本蠕虫依然有效,所以微步在线推荐用户设置该DNS解析。 WannaCry木马是否存在潜伏期? 没有,木马执行后会首先连接秘密开关域名,如果连接成功,则直接退出,在没有其他人为因素触发(比如双击执行)的前提下,不会再执行,也不会再有危害。但如果受害者没有打补丁很可能会再次感染,重复这个过程。所以及时打补丁是关键。 设置了这个秘密开关域名的DNS解析,会不会反而被黑客控制?不会。原因如下:
针对秘密开关域名的内部web服务器如何配置?
昨天我们报告发布后,已有多家企业用户按照报告中的建议进行部署,效果显著。 搭建针对秘密开关域名的具体过程如下:
周一上班前后企业IT管理员如何应对?对于企业的IT管理员和信息安全管理员,我们推荐按照以下举措进行应急响应: 周一上班前
周一上班后
周一上班后企业员工如何开机?周一上班后,为保证系统安全,建议企业员工按以下步骤开机:
e) 选中“端口”,点击“协议与端口”, 勾选“特定本地端口”,填写 137,139,445,3389,端口数字以逗号间隔
5. 插入网线,联网。从微软官方网站下载相应补丁
英文版本Windows请访问微软官网链接 6. 重启电脑 7. 如果感觉电脑异常,请立即断网并与系统管理员联系 [1] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx [2] https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
|
|
来自: qingse1976 > 《我的图书馆》