當紅的勒索病毒WanaCrypt0r的分析-狗尾續貂

當紅的勒索病毒WanaCrypt0r的分析-狗尾續貂 1

先說結論:在編程水平上:狗尾續貂,作者經驗不足。WanaCrypt0r之所以能搞出這麼大新聞,侵襲上百國家的電腦,在於它可能是全球第一個帶有蠕蟲性質的勒索病毒。

所謂蠕蟲,就是指可以通過網絡自動傳播自己的病毒,最原始的蠕蟲在感染一台電腦後,會操控受害者電腦上的郵件客戶端,給所有聯繫人發送帶有病毒的郵件,通過這種一傳十、十傳百方式,蠕蟲能在短時間內爆發,感染數百萬台無防備的電腦。而WanaCrypt0r可謂是極高水準的蠕蟲,擁有自動化入侵的能力,其在感染後,會利用今年3月被曝光的Windows漏洞自動入侵區域網內所有開放445埠的電腦,植入自己。鑑於很多人都停留在Win7,並且不做安全更新,如果區域網中沒有封鎖445 port,其後果不堪設想。

看到這裡,你可能會有疑問,為什麼這麼強大的病毒卻是狗尾續貂呢?

原因就在於,該病毒最精華的部分,也就是讓它帶有蠕蟲性質的自動入侵模塊,其實是照搬自今年3月被維基解密曝光的NSA(美國國家安全局)的網絡武器-永恆之藍( EternalBlue )而在「永恆之藍」完成入侵後,接下來的東西就暴露了作者的水平。

單就「永恆之藍」,其入侵手段非常完美,利用遠程執行漏洞,使用Shellcode獲取管理員權限,整個過程都隱藏在內存裡,,不進行任何文件讀寫,完美規避防毒軟體的文件掃瞄(部分防毒軟體的基於進程的內存掃瞄也很難掃到),那麼這個擁有管理員權限,幾乎可以為所欲為的Shell做了什麼呢?僅僅只是上網下載病毒本體到ProgramData文件夾,並將其執行,然後就
自動退出了。。。。。。。。。。。
自動退出了。。。。。。。。。。。
自動退出了。。。。。。。。。。。
國家級的入侵工具,你就拿它當下載器?
虧得剛剛避過了防毒軟體的文件掃瞄,一下載文件到硬碟,完全破功,很多靜態掃瞄強的防毒軟體,這時候很可能就把本體殺掉了。至於下回來的本體,就是一普通的勒索加密,用的是自加密的最初級加殼方式,直接使用命令獲取所有文件的寫權限,動作之大,只能說掩耳盜鈴,視防毒軟體的主動防護於無物,從網友的測試裡也能看出,斷網狀態、16年12月行為特徵庫的各大防毒軟體就紛紛將其斬於馬下。更無語的是,該病毒是先在本地生成加密密鑰,加密完才上傳至服務器,察覺的快的話,沒有防毒軟體的情況下也可能挽救文件。一句狗尾續貂,我想再貼切不過了。

此次爆發,固然有「永恆之藍」的加成,但更大程度上是源於大家淡薄的安全意識。請打好補丁,安裝大廠防毒軟體,可保數據安全。

文章來自 卡飯論壇 作者:houtiancheng
分享文章:

發表迴響