许多安全研究人员担心的事情确实实现了。威胁参与者利用Windows系统使用的流行通信协议集成了一个关键漏洞,使全球数千台计算机瘫痪勒索软件.

在被利用的几个小时内,一个最近被微软修补过的漏洞被用来传播WanaCrypt0r勒索软件肆虐全球.

在这篇博客文章中,我们将通过查看蠕虫的能力以及是什么使这一威胁如此成功来描述传播这一勒索软件的蠕虫。

主要功能

WanaCrypt0r是最有效的——不仅勒索软件在系统上的每个开放的RDP会话中循环,并以该用户的身份运行勒索软件,而且在系统上被丢弃的初始组件似乎是一个包含并运行勒索软件的蠕虫,通过使用永恒蓝SMB脆弱性(ms17 - 010).

这个程序进入点这个可执行首先尝试连接到网站www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。它实际上没有下载任何东西,只是尝试连接。如果连接成功,二进制文件将退出。

这可能是某种杀戮开关或反沙箱技术。无论是哪种情况,它都会对蠕虫的作者产生反作用,因为域已被挖空,并且所涉及的主机现在解析为承载网站的IP地址。因此,在运行可执行文件的任何新系统上都不会发生任何事情。这仅适用于具有上面列出的哈希的二进制文件;未来很可能会发布新版本。更新:InternetOpenA的第二个参数是1 (INTERNET_OPEN_TYPE_DIRECT),因此蠕虫仍然会在任何需要代理访问Internet的系统上工作,这是大多数公司网络的情况。多亏了迪迪埃·史蒂文斯发现大多数人错过的东西。

在这个检查通过之后,蠕虫做的第一件事是检查它被启动时的参数的数量。如果运行时传入的参数少于两个,则安装一个调用的服务mssecsvc2.0显示名称为Microsoft安全中心(2.0)服务(其中二进制文件本身带有两个参数),启动该服务,删除位于蠕虫资源中的勒索软件二进制文件,然后运行它。

如果它是使用两个或更多参数运行的,换句话说,如果它是作为服务运行的,那么最终将由worm函数执行。

被调用的初始化函数首先调用WSAStartup()初始化网络,然后cryptoAcquireContext()初始化加密API,使其可以使用加密安全的伪随机数生成器。然后,它调用一个函数来初始化用于存储worm有效负载DLL的两个缓冲区,一个x86,一个x64。它从服务器复制有效负载DLL.数据节,然后在它之后复制整个worm二进制文件。

每个有效负载DLL的代码非常小,只是获取资源内容(即蠕虫二进制),下降到磁盘作为C:\WINDOWS\ mssecsvc.exe(该路径实际上是硬编码的)并执行它。

利用SMB漏洞在世界范围内传播勒索软件

初始化蠕虫所使用的功能后,将创建两个线程。第一个线程扫描LAN上的主机。第二个线程被创建128次,并扫描更广泛的Internet上的主机。

第一个线程(负责扫描局域网)使用GetAdaptersInfo ()获取本地网络上的IP范围列表,然后创建这些范围中要扫描的每个IP的数组。

LAN扫描本身是多线程的,并且有代码防止一次扫描LAN上超过10个IP地址。

扫描线程尝试连接到端口445,如果连接到端口445,则创建一个新线程,尝试使用MS17-010/EternalBlue攻击系统。如果攻击尝试耗时超过10分钟,则攻击线程将停止。

扫描Internet的线程生成一个随机IP地址,使用先前初始化的操作系统加密安全伪随机数生成器,如果CSPRNG未能初始化,则使用较弱的伪随机数生成器。如果连接到该随机IP地址上的端口445成功,则整个IP地址/24扫描范围,如果端口445打开,则进行攻击尝试。这一次,每个IP的攻击超时不是在10分钟后发生,而是在一小时后发生。


利用线程多次尝试利用,使用两组不同的缓冲区(可能一组用于x86,另一组用于x64)。如果它检测到双脉冲星在任何攻击尝试之后,它都会使用双脉冲星加载相关有效负载DLL。

保护

它是至关重要的安装所有可用的操作系统更新以防止被MS17-010漏洞利用。任何运行Windows版本的系统如果没有收到针对该漏洞的补丁,应该从所有网络中删除。如果你的系统受到了影响双脉冲星将也已安装,因此这将需要也被删除。有一个脚本可用可以远程检测并移除双脉冲星后门。Malwarebytes的消费者和商业客户受此勒索软件的高级版本保护必威平台APP必威平台APP必威平台APP伪终端安全分别地