關(guān)于WannaCry的原理解釋

• 那個(gè)注冊(cè)網(wǎng)站的安全小哥的博文:https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

• 關(guān)于解釋病毒原理的文章:http://blog.talosintelligence.com/2017/05/wannacry.html

• 關(guān)于445端口

  • 大家現(xiàn)在知道的應(yīng)該是這是一個(gè)利用windows 445端口來(lái)進(jìn)行傳播的病毒.
  • 445端口是SMB協(xié)議的,就是基于TCP/IP或其他網(wǎng)絡(luò)協(xié)議之上的,簡(jiǎn)而言之就是可以網(wǎng)絡(luò)傳播的一個(gè)端口.
  • WannaCry在你的電腦上搜索你連接的所有子網(wǎng)下的PC,然后利用445端口進(jìn)行傳播,這就是為什么要關(guān)閉445端口.
  • 前段時(shí)間ShadowBroker組織對(duì)NSA的方程式泄漏事件,有興趣的可以了解一下

• 關(guān)于為什么說(shuō)現(xiàn)在傳播被遏止了

病毒示例圖.png

 - `sandBox`:這是一種安全防護(hù)的措施,當(dāng)有類(lèi)似病毒侵入時(shí),并不立刻阻止,而是在沙盒模式下運(yùn)行,當(dāng)判斷其真正為病毒時(shí),將其阻止并回滾到病毒入侵之前.
 - 黑客組織為了判斷是否進(jìn)入sandBox,他向一個(gè)長(zhǎng)亂碼網(wǎng)站進(jìn)行HTTP/GET請(qǐng)求,這個(gè)網(wǎng)站沒(méi)有進(jìn)行域名注冊(cè),所以DNS服務(wù)器無(wú)法解析,而他在沙盒中注冊(cè)了這個(gè)網(wǎng)站,當(dāng)進(jìn)入沙盒時(shí)就會(huì)有響應(yīng),然后執(zhí)行exit.代碼示例如上.
 - 因?yàn)檫@個(gè)亂七八糟網(wǎng)站被國(guó)外的安全小哥注冊(cè)了,所以傳播理論上已經(jīng)被阻止了,只不過(guò)被感染的無(wú)法恢復(fù).

• 關(guān)于病毒加密的原理
  • 因?yàn)椴皇茄芯啃畔踩?我就大致描述一下病毒入侵流程
  • 初始文件mssecsvc.exe,執(zhí)行tasksche.exe
  • 執(zhí)行kill switch domain
  • 創(chuàng)建mssecsvc2.0
  • 重新執(zhí)行mssecsvc.exe,并且檢查在同一子網(wǎng)下你的PC嘗試用445端口TCP連接的所有PC(微軟的MS17-010補(bǔ)丁修復(fù)了關(guān)于這里的漏洞)
  • tasksche.exe檢測(cè)所有的硬盤(pán)驅(qū)動(dòng),類(lèi)似于C:/,對(duì)其進(jìn)行2048-bit RSA加密,創(chuàng)建一個(gè)Tor/目錄,并扔入tor.exe和9個(gè)相關(guān)的dll以及taskdl.exe & taskse.exe
  • tasksche.exe執(zhí)行在桌面顯示勒索信息
  • 有興趣的可以了解一下RSA加密原理.
• 實(shí)時(shí)監(jiān)控全球被感染PC的圖
  • https://intel.malwaretech.com/WannaCrypt.html