WannaCry勒索蠕虫存在秘密开关!
微步在线威胁情报通报
编号: TB-2017-0006 报告置信度:90 TAG:勒索软件 WannaCry CVE-2017-0144蠕虫 NSA 秘密开关域名 TLP: 白 (报告转发及使用不受限制) 日期: 2017-05-13 摘 要 近日,微步在线捕获到一款新型勒索软件用于对全球范围内的目标发起大范围的攻击,多家安全公司将该勒索软件命名为“WannaCry”。微步在线对该事件中收集到的样本进行了紧急的分析,发现当前攻击样本中存在一个开关:样本启动后会首先请求域名一个秘密开关域名(具体见附录IOC),请求失败后即开始执行加密,相反,请求成功后立即退出,不执行加密。根据微步在线的威胁分析平台,该域名目前已经被安全公司接管,因此新感染的机器如果能够访问外网,请求该域名会返回成功,随即直接退出,不会执行加密操作,危害性有所降低。是的,被蠕虫感染的机器如果能够成功连通秘密开关域名,反而不会被加密!其他发现还有: WannaCry家族同时具有勒索加密功能和蠕虫传播功能,一旦内网某台机器失陷,且内网其他机器没有外网访问权限,则整个内网机器仍旧很有可能被攻陷并被执行加密勒索。 鉴于该勒索软件需要连通上述开关域名,才会停止加密。因此,如果企业内网机器没有互联网访问权限,则建议客户在内网修改此开关域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)的内网解析,并且将解析IP指向企业内部在线的web服务器;如果内网机器具有互联网访问权限,则无须采取额外措施。微步在线在第一时间为企业安全和IT管理者提供了行动指引,具体应对措施请参见下文“企业如何应对”部分。 根据微步在线的情报监测网显示,此次攻击已经对我国造成较大危害,已知包括教育、医疗、能源等行业损失惨重。此外,国外包括英国、俄罗斯、台湾、乌克兰等国家也被攻击。 微步在线对此次事件中的样本进行了快速的分析,提取了相关IOC,可用于失陷检测。具体IOC列表见附录。 此次攻击虽然开关域名已经被安全公司接管,不会造成更进一步的危害,但类似的攻击仍然随时会再次袭来。因此,微步在线建议客户参考本报告的详情部分采取进一步的防护措施。 微步在线的威胁情报平台也已支持相关攻击的检测。如需微步在线协助检测,请与我们联系 contactus@threatbook.cn 事件概要攻击目标 | 所有存在MS17-010漏洞主机 |
时间跨度 | 2017年5月12日 |
攻击复杂度 | 丰富的编程经验和基础资源 |
后勤资源 | 丰富的基础资源及开发能力 |
攻击向量 | 高危漏洞 |
风险承受力 | 高 |
最终目标 | 加密敏感数据,勒索赎金 |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[1] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[2]https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 澳门是伟大祖国的一方宝地 7938471
- 2 女法官遇害案凶手被判死刑 7931081
- 3 日本火山喷发灰柱高达3400米 7869509
- 4 中国为全球经济增长添动能 7777234
- 5 肖战新片射雕英雄传郭靖造型曝光 7615970
- 6 大三女生练咏春一起手眼神骤变 7506103
- 7 #马斯克对特朗普政府影响有多大# 7441368
- 8 男子钓上一条自带“赎金”的鱼 7378118
- 9 赵丽颖带儿子探班 7258790
- 10 女子穿和服在南京景区拍照遭怒怼 7134733