标注的博客| 安全研究| 渗透测试| APT

首页

瓦纳克里的时间

作者 ludvik 时间 2020-03-14
all

在短短10天的时间里,两起大规模、令人担忧的袭击占据了国际头条。首先,一个冒充谷歌文档共享请求的网络钓鱼活动获得了对谷歌账户的访问权,然后在受害者的联系人中传播,现在,一个名为WannaCry的勒索软件活动利用互联网上泄露的漏洞自动感染了易受攻击的系统。

在攻击的最初几分钟,我们与Talos的同行合作,分析WannaCry的行为并保护我们的客户。我们还特别自豪地看到,我们的调查产品帮助MalwareTech减少了WannaCry的影响。在这篇文章中,我们希望给你一个回顾性的分析,我们在事件的第一个关键时刻观察到了什么。

如果没有攻击前几个月发生的一系列戏剧性事件,WannaCry就不会有如此大的影响力。我们在下面的信息图表中分解了这些事件以及如何保护我们的客户:

在各种新闻文章和社交媒体帖子中,已报告超过25万人感染。我们对互联网的独特看法使我们能够想象这些感染是如何随着时间的推移而传播的。我们可以通过查看对“kill switch”域的查询来完成此操作。我们首先在Talos博客上讨论了这些域,并将在接下来的章节中对它们进行更多的研究。下图显示了使用解析程序对这些域(被视为已感染或与感染相关)进行查询的计算机所在的国家/地区,以及每个国家/地区在每个期间负责的查询百分比:

更新:我们注意到这个视频左下角的时间戳中有一个小问题,它已经被更正。

暴露

注意:我们正在监视打开TCP 445的计算机中的端口更改,并看到可能影响下图的结果波动-我们将在了解更多信息时随时向您更新。

在撰写本文时,我们还查看了在internet上打开TCP 445的主机数量。此端口很重要,因为侦听它的SMB服务是初始攻击目标(MS17-010、CVE-2017-0143)。如您所料,这些机器中有很大一部分已打开TCP445,并且可能仍然存在漏洞:

上面的图形集中在前两个kill switch域上。在本文撰写期间,第三种情况也开始出现:

对这些域的查询意味着系统受到了恶意软件的危害,但没有进一步受到感染,因为我们正在将这些请求重定向到我们的阻止页。这些域的查询量说明了一个非常戏剧性的故事:

这些已知的kill switch域的查询量继续增加,但是,在这些增加中丢失的是查询kill switch的实际机器数。一台机器可以多次查询这些域。为了深入了解这一点,让我们看看过去168小时内查询kill switch域的机器数量(每小时)。

独特的机器

注意,这三个kill开关域似乎开始并在其大小上表现出一种幂律。也就是说,iuq…域最大,iff…域较小,而ayy…最小。出于多种原因,这不是巧合。首先,我们知道iuq…是第一个用于WannaCry、iff…second和ayy…最新的kill switch域。

但另一个有趣的观察结果是,它似乎是震级。就查询域的机器数量而言,每个kill switch的覆盖范围似乎在下降,存在的kill switch域越多。在某种程度上,我们在这里观察到的是一种更普遍的勒索法。也就是说,给定一个成功的活动,每一个连续的迭代,将只有前一个成功率的一小部分。

重复

对这些查询的另一个有用的观点是,每小时重复的机器数量。这是过去168小时的信息。

艾伊河上的大钉子。。域跳出。这意味着前一个小时的机器100%在当前小时内进行查询。这个峰值发生在这个特定域生命的早期阶段,当时对这个域的查询仅限于极少数的机器。这可能意味着再次感染,恶意软件的进一步传播,或者仅仅是一个研究人员调查的领域。

危险性

最后,在查看查询卷时要考虑的最后一个数据点是查询kill switch域的计算机的其他域查询的中位数。这里的直觉是,一台特定的机器越活跃,它们就越有可能遇到恶意的东西。

有趣的是,正如前面的图表,艾伊。。域在这里也是一个异常值。查询ayy。。域似乎查询了更多的其他域。

研究人员!

WannaCry在请求kill switch域时使用InternetOpenUrl函数。这样就不需要用户代理HTTP请求头,从而生成如下所示的HTTP请求:

我们研究了有用户代理字符串的块与没有用户代理字符串的块的百分比。这里的想法是,那些有用户代理字符串的人是浏览到域的人,而那些没有用户代理字符串的人则来自恶意软件本身。随着时间的推移,绘制这两组图,你可以看到一个有趣的下降趋势,即感染速度减慢,然后又回升:

也许WannaCry最有趣的部分之一是杀戮开关。虽然这可能不是第一次在恶意软件(如Necurs)中发现这种机制,但它的意图是无可否认的奇怪。可能是攻击者控制了蠕虫,也可能是攻击者通过检查蠕虫何时被发现而发现,或者只是沙箱躲避出错。不管是什么原因,它在阻止感染方面起了很大的作用。

暴露试验

我们新看到的域名对保护我们的许多客户是一个很大的帮助,但是许多人担心,阻止域名实际上会导致感染。我们创建了一个模拟WannaCry逻辑的简单测试,希望您也会发现它很有用:

如果您不习惯Visual Studio,可以使用gist附带的二进制文件,它是在带有VS2015的32位Windows 8.1上测试的。

域组成

正如我们在塔洛斯博客文章中提到的,域名的建设突然向我们袭来。从字面上看,好像有人砸了键盘上几排键,才找到它。为了好玩,我们绘制了字符距离和频率:

很难说这个域名是如何创建的,但它给人的感觉肯定是一个双手放在键盘上的主排位置只是来回交替,几乎没有任何动作。就好像他们在中途提醒自己要更加随意,用中指一路伸到最上面那一排的九个人!

变体

总会有抄袭者,瓦纳克里也不例外。这些小的Frank Abagnales修补二进制文件,包括不同的kill交换域、比特币支付地址,然后让蠕虫传播。我们继续看到这些弹出窗口:

这些领域如此相似,以至于我们决定通过计算它们之间的Levenshtein距离来说明模仿者在创建新变体方面投入的工作是多么的少。这些较短的距离有助于量化它们究竟有多懒:

下面是我们通过简单模式匹配找到的域列表,您可能还注意到大多数域的长度相同。

受感染的网站

常见于大多数勒索软件感染,恶意软件显示勒索便条时,其加密文件在系统上。WannaCry使用自己的可执行文件@[email protected]完成了这项工作。我们决定寻找托管这些可执行文件的网站,并发现了大量。我们不完全确定这个网站是否真的被破坏了,或者有其他的事情发生了,但是我们想深入了解一下我们能发现什么。下面是对10个已知拥有这个文件的域名的查询,我们在他们被感染的时候匿名了他们:

请注意,所有这些域在过去3天内似乎都增加了活动量。事实上,最近一段时间(最后一天左右)内的活动量似乎显示了迄今为止最密集的时期。从中可以得到两个好处:1)WannaCry活动仍在全速进行,或2)随着安全研究人员在破解恶意软件方面取得优势,WannaCry活动正在减少。

不管对事件的解释是什么,这10个域都提供了对kill switch和托管@[email protected]的域进行比较的见解。最大的收获是,在托管@[email protected]的这些域上发生的查询所占的比例明显小于最小的kill switch域查询计数。然而,这些@[email protected]域虽然较小,但显示的查询量更为一致:即似乎没有一个或两个域接收所有查询。这种包含@[email protected]信息的域的更为统一的分布,使人们对用于存储下载勒索软件所需的有效负载的基础结构产生了某种猜想。

总结

我们将继续监视此事件和其他事件,以便保护我们的客户!敬请期待!

本文分类如下: