所谓开关 是攻击者设定好了的
样本利用了ETERNALBLUE SMB 漏洞进行勒索软件的传播和感染,其中样本开始就连接了如下域名,测试网络连通性,如果能联通,则直接退出,如果不能联通,则继续后续行为。使用此种方式,可以在攻击者想要停止攻击时,即采用将未注册的域名进行注册的方式,停止此样本的进一步扩散。
勒索软件样本中包含三个攻击者提供的比特币钱包,完成勒索赎金支付功能,截止分析为止,攻击者钱包总数目为$13623.024035853401,其中钱包ID为 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 的比特币信息如下图所示。
主要功能
安装服务: 生成服务mssecsvc2.0服务,完成漏洞利用和扫描445端口;
加密文件: 加密指定格式的文件;
网络行为及漏洞利用: 利用 ETERNALBLUE 漏洞或DOUBLEPLUSAR后门对PC进行进一步的攻击,及大范围扩散;
Wannacry勒索病毒执行流程如下:
样本开始执行时,首先连接样本中硬编码的域名地址测试网络连通性,如果能联通,则直接退出,如果不能联通,则继续后续行为。
网络行为
此部分内容分为扫描和传播。
当以服务的形式启动时,会执行其设定的功能函数,该函数的主要功能是对网络中的计算机进行扫描,如果发现存在使用SMB协议,开放445端口并且未打补丁的计算机或者存在DOUBLEPLUSAR后门的计算机,则对其进行攻击。
首先是通过时间计算出随机的IP地址信息,对IP进行连接:
攻击定位
截止分析为止,该域名被安全研究者Malware Tech分析样本后发现并抢注,指向sinkhole,已经在一定程度上防止其造成更多危害。
截止分析为止,其感染分布已十分广泛,具体的分布图如下所示:
想了解更多该样本相关的攻击者信息,可以购买绿盟科技的深入分析报告。
京东app最新版本是一款全球大型的自营网络购物软件,软件平台采用了秉承客户为先的理念进行打造,为所有的用户们打造出一个掌上实惠,便捷,安全,高效,有品质保障的购物平台,里面海涵了大量的商品,无论是海外的,还是国内的,各大知名连锁品牌商家全都入驻在内,每一位用户们都能够在官方店铺
口袋记账app 是一款简单易用的手机记账应用。口袋记账内容涵盖预算、账户、报表、消费明细等,支持消费数据导出到邮箱、数据记录备份存储到云端、换肤等功能,通过优雅的时光轴设计,便捷的记一笔体验,一键报表生成,轻松为您理财。很棒的软件,喜欢就来下载