一、緒論:
WannaCry是一款基於NSA的永恆之藍漏洞(SMB-MS17-010)類似蠕蟲似傳播的一款勒索軟件(Ransomware)。一旦中招,該勒索病毒會對系統中的各種文件進行加密,比要求支付贖金進行解密。
對於該類勒索軟件及其變種應急思路如下。
二、本機保護:
0、對於內網已有報警,但尚未感染或者開機的主機:拔掉網線后啟動,備份重要數據,使用ACL限制135、139、445端口的入站,最好及時安裝補丁。
1、如果本機安裝有安全防護軟件,限制了勒索軟件的運行,則本機數據安全無虞,此時也不面臨對外繼續傳播的風險的,需要做的就是繼續排查攻擊源。后面詳細講述排查攻擊源的方法。
2、如果勒索軟件已經開始運行,需要緊急做兩件事:
(1)限制繼續對外傳播:首先netstat -an > result.txt 之后拔掉網線
(2)停止本機繼續受到侵害:
感染后的三個階段:
1、smb被爆,感染了wannacry,並連接固定url(54.153.0.145):http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com;連接成功停止運行,否則繼續執行(防止虛擬機、沙箱分析)因為沙箱對不存在的域名請求也會解析。
2、釋放了mssecsvc.exe,運行C:\WINDOWS\mssecsvc.exe -m security,參數小於2,所以安裝並啟動服務。然后釋放tasksche.exe到C:\WINDOWS\下一\i參數啟動(原來的tasksche.exe被移走)。
3、創建網絡庫和加密庫(dll),初始化payload dll內存。進行磁盤加密並繼續攻擊其他主機。
注:wannacry的一些特征:
""" 1、大量的對外發送目的端口為445的報文,且目的IP不局限與內網、包含公網。 2、每個目的地址每次發送的報文並不多,大概2-4個 3、部分流量特征碼:(16進制): *5043204e4554574f* 00000054ff534d42720000000018012800000000000000000000000000002f4b0000c55e003100024c414e4d414e312e3000024c4d312e325830303200024e54204c414e4d414e20312e3000024e54204c4d20302e313200 """
感染過程中需要及時殺毒:
拔掉網線、結束進程樹、關閉服務、查殺病毒文件:
結束進程樹:
""" mssecsvc.exe tasksche.exe """
關閉服務:
1 """ 2 Microsoft Security Center(2.0)Service 3 """
查殺病毒軟件
""" md5值 tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6e mssecsvc.exe 854455f59776dc27d4934d8979fa7e86 qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e (1)系統目錄查看 文件一般位於系統盤下的windows目錄,例如c:\windows\,通過命令提示符進入: cd c:\windows\ dir /od /a *.exe (2)全盤查找 dir /od /s /a tasksche.exe dir /od /s /a mssecsvc.exe """
三、局域網內主機保護
1.在內網策略中限制135、139、445端口。
2.在其他主機上脫機打補丁之后在連網。
3.將所有已被感染的未完成查殺和安全檢測的主機隔離出內網。
4.對內網主機做安全加固(除關閉相應端口和打補丁之外,還需要安裝防御和查殺病毒的軟件)
四、攻擊源追查
1、查看windows系統日志,確定中招時間:
2、查看該時段及其之前一段時間的安全日志登錄,是否有非正常登錄行為(重點可疑)
3、查看網絡通信行為,記錄最近一段時間的網絡通信,關注針對該主機IP的445、139、135端口的通信。