自从“想哭”(WannaCry)勒索软件爆发、在全球各地的电脑上造成严重破坏以来,安全研究人员度过了忙碌的一周。关于感染的新闻和随后的病毒图片显示了从大型显示终端到kiosk都受到了影响,这在某种程度上造成了混乱,这可能是自从大约2004年的MyDoom蠕虫病毒以来从未见过的。
新闻机构和其他出版物是淹没安全公司,以供提供给公众的信息 - 有些人令人愉快。信息迅速传播恶意垃圾邮件广告系列负责循环恶意软件。这一索赔通常是一个安全的赌注,如ransomware经常通过恶意垃圾邮件传播。不可否认,我们也首先想到了垃圾邮件可能已经传播的活动,随后通过MalwareBytes电子邮件遥测系统中寻找罪魁祸首的全部倾倒整个周末。必威平台APP但像许多其他人一样,我们的陷阱已经空了。
声称“想哭”是通过电子邮件传播的说法可能是一个很容易犯的错误。恶意软件的爆发不仅发生在一个周五的下午,而且大约在同一时间,一个新的勒索软件活动通过恶意电子邮件和流行的Necurs僵尸网络大量传播。我们最近写关于贾夫勒索软件家族和发送勒索软件的垃圾邮件活动。
有些人可能已经看到他们的饲料上发生的新闻,在蜜罐中的赎金软件主题文档恶意软件上的一个上升,然后跳到结论,作为首先与新闻首先的方式。
但在Malwarebyt必威平台APPes,我们尽量不这么做。现在,在对收集到的信息进行彻底审查后,我们代表整个恶意软件威胁情报团队,很有信心地说,那些猜测是错误的。必威平台APP
事实上,席卷全球的“勒索蠕虫”并不是通过恶意邮件传播的。相反,我们的研究显示了这个讨厌的虫子是通过一个操作,猎杀脆弱的公共传播面临SMB港口,然后使用所谓的NSA-leaked EternalBlue利用网络上的,那么所谓(NSA) DoublePulsar利用建立持久性和允许的安装WannaCry Ransomware。
我们将通过分析来自阴影经纪人转储中包含的信息的可用数据包捕获,二进制文件和内容来提供向这一主张提供支持的信息,并将到目前为止关于恶意软件感染载体的信息相关联。
以下是我们所知道的
EternalBlue
永恒之蓝是一个SMB利用影响各种Windows操作系统从XP到Windows 7和各种口味的Windows Server 2003和2008。这种开采技术被称为堆喷涂并且用于将shellcode注入易受攻击的系统,允许利用系统。该代码能够通过IP地址定位易受攻击的机器,并通过SMB端口445尝试开发.ETERERELBLUE代码与DoublePulsar后门密切相关,甚至检查安装程序期间存在恶意软件。
eeternalblue检查Doublepulsar
EternalBlue字符串
通过检查EternalBlue-2.2.0.exe文件获得的信息有助于演示该软件的预期行为。上面的截图显示恶意软件:
- 向目标机器发送SMB ECHO请求
- 为目标架构设置漏洞利用
- 执行SMB指纹
- 尝试利用
- 如果发生成功的剥削,请赢
- ping后门以获得SMB回复
- 如果没有安装后门,那就是游戏!
此代码将该代码到其他潜在的SMB目标的能力允许恶意代码传播到连接网络上的其他易受攻击的机器。这是使Wannacry勒索软件如此危险的原因。传播和自我繁殖的能力导致广泛的感染而没有任何用户的相互作用。
Doublepulsar.
DoublePulsar是eTernalblue检查以确定存在的后门恶意软件,它们密切合在一起。
这个恶意软件使用APC(异步过程调用)将DLL注入到lsass.exe的用户模式进程中。一旦注入,就会安装利用shellcode以帮助在目标机器上保持持久性。验证安装成功后,可以从系统中删除后门代码。
Doublepulsar参数
DoublePulsar恶意软件的目的是建立连接,允许攻击者窃取信息和/或安装额外的恶意软件(如WannaCry)到系统。这些连接允许攻击者通过SMB (TCP端口445)和或RDP (TCP端口3389)协议建立一个Ring 0级连接。
DoublePulsar Ring0连接
网络分析
看看wannacry.pcap.pcap.pcap.文件共享给VirusTotal@benkow_通过攻击周期的初始呼叫帮助我们将先前讨论的代码视为感染矢量。
阿根廷的受妥协机器的高级视图(186.61.18.6.)攻击了蜜罐:
广泛宣传的kill-switch域出现在pcap文件中。据报道,恶意软件向该网站发出DNS请求。直到@MalwareTech无意中关闭通过注册域的广告系列,恶意软件将使用它作为一个机制来确定它是否应该运行。
DNS查找陷阱
SMB流量也在捕获中清晰可见。这些SMB请求正在使用上面的利用代码检查易受攻击的计算机。
SMB要求
exproit将SMB'Trans2 Session_setup'请求发送到受感染的计算机。根据SANS,这是短暂的交易2子命令扩展并且是漏洞利用的函数。此请求可以确定系统是否已经泄露,并将对攻击者发出不同的响应代码,指示“普通”或“受感染的”机器“。
潜入.pcap有点多,我们确实可以看到这个smb trans2命令和81的后续响应代码,指示受感染的系统。如果攻击者以响应收到此代码,则SMB Exploit可以用作隐蔽数据或安装诸如Wannacry等数据的手段。
Trans2 Multiplex ID
把它整合在一起
我们通过研究DoublePulsar Backdoor能力而收集的信息允许我们将此SMB与EternalBlue SMB Exploit联系起来。这真的不难这样做,因为两者都被修补为部分MS17-017安全公告就像之前提到的,他们都在广为人知的影子经纪人和国家安全局的转储文件中被释放了。
在没有用户提供的捕获或日志提供的感染媒介的其他明确证据的情况下,基于用户报告称机器在员工上班时被感染,我们只能得出这样的结论:攻击者启动了一项行动,以追捕易受攻击的面向公众的SMB端口,一旦找到,利用新近可用的SMB利用部署恶意软件并传播到连接网络中的其他易受攻击的机器。
开发一个精心设计的运动,即识别几千台弱势机器只能允许这种恶意软件的广泛分布在我们用这种特定的赎金软件变体看到的规模和速度。
我们学到了什么?
不要跳到结论。恶意软件分析很困难,需要一些时间来确定特定组的归属,和/或评估特定运动的功能 - 特别是星期五晚些时候(哪个BTW,所有你可以在周五辞掉发布发布!)。首先,停止攻击,第二次来分析攻击。请记住,耐心是一种美德。
更新,更新,更新!在武器化之前,Microsoft发布了这些漏洞的修补程序。授予,修补程序无法用于所有操作系统,但修补程序可用于绝大多数机器。这一事件甚至强迫微软为长期EOL Windows XP发布了一个补丁 - 这回到了第一件事。更新!为什么XP上仍然有机器!?这些机器易受攻击(超越此攻击)到此攻击的赎金软件功能,需要更新。
禁用不必要的协议。SMB用于在计算机之间传输文件。在许多机器上启用该设置,但大多数是不需要的。如果不使用,禁用SMB和其他通信协议。
由于这种预防措施可以防止传播到其他系统和网络,因此网络分割也是一个有价值的建议,从而减少了重要系统的曝光。
最后,不要部落漏洞利用。微软总统布拉德史密斯使用了这个事件来召唤'世界各国“在可以用于制作数字武器的计算机代码中的储存缺陷。
这让我想起了一篇我几年前写的文章(并且大大减少了长度)关于黑客团队和政府制裁利用利用。
我猜事情没有改变......
评论