首页 > 安全 > 网络安全 > 正文
WanaCrypt0r勒索病毒分析
2017-05-19 10:46:00       个评论      
收藏    我要投稿

WanaCrypt0r勒索病毒分析。

0x1 前言

近日,外媒和多家安全公司命名的“WanaCrypt0r”勒索病毒,席卷了全国,企事业单位以及教育网成为重灾区。该病毒利用NSA泄露“永恒之蓝”黑客武器攻击windows系统的445端口,如果没有安装MS17-010相应的补丁,用户不需要任何操作,只要开机上网,病毒就可以感染到本地,加密文件,进行勒索。

此次大规模爆出的病毒为典型的蠕虫类勒索病毒,通过网络进行传播。接下来我们针对流量,对病毒行为进行分析。

0x2 实验环境

操作系统:Windows 7 旗舰版 Services Pack 1

Wireshark 1.12.5

VMware Workstation 12

Process Monitor

0x3 病毒触发时流量分析

此次拿到的病毒样本为较早的版本,Twitter上自称@malwaretechblog的英国研究员发现了隐藏的一个“触发开关”。蠕虫启动时会连接固定的url:

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

如果连接成功则退出程序,连接不成功将继续攻击。

所以最开始我们先对此进行验证。

虚拟机在联网的状态下触发病毒,等待几分钟后并没有发现异常,此时打开wireshark查看期间的流量信息。

请求域名时会向DNS服务器进行解析,所以我们先过滤DNS流量。

\

很明显,期间有一条DNS请求被捕获,直接查看返回包,回执域名的ip为 54.153.0.145 (此IP为DNS解析到的,不固定,先前回执的还有144.217.254.3和144.217.74.156)

得到IP,那么我们过滤看一下,病毒对这个域名到底有什么数据交换,过滤144.217.254.3,得到结果:

\

请求过程很简短,三次握手建立连接后进行GET请求,得到返回数据。之后RST强制断掉了连接。

该域名是那名英国安全研究员之后注册的,有趣的是,GET得到的数据:sinkhole.tech - where the bots party hard and the researchers harder.

\

恢复快照,回滚到原始环境,之后我们断网状态下,再次运行病毒。

\

很成功的触发了病毒。此时我们再去查看期间的流量信息:

先过滤DNS,查看有无域名访问请求:

\

同样是有的,只不过此时断开网络,没有DNS解析回执信息而已。

之后我们查看全部流量,发现大量的异常数据包:

\

发现了两种异常流量,第一种基于ARP的主机发现,以及针对445端口的TCP SYN式扫描。根据情报,我们知道,WanaCrypt0r是利用的“永恒之蓝”黑客武器。蠕虫病毒首先周期性的通过ARP探测本网段活跃的主机,与此同时,扫描一些地址的445端口,如果扫描到的主机开启445端口,则病毒会尝试进行植入。

对流量进行统计,针对TCP活动进行观察:

\

针对大量的外网IP进行455端口探测。

\
点击复制链接 与好友分享!回本站首页
上一篇:互联网安全 - 每日安全知识热点
下一篇:“潜盗者”APT渗透攻击揭秘
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做实用的IT技术学习网站