一、绪论:
WannaCry是一款基于NSA的永恒之蓝漏洞(SMB-MS17-010)类似蠕虫似传播的一款勒索软件(Ransomware)。一旦中招,该勒索病毒会对系统中的各种文件进行加密,比要求支付赎金进行解密。
对于该类勒索软件及其变种应急思路如下。
二、本机保护:
0、对于内网已有报警,但尚未感染或者开机的主机:拔掉网线后启动,备份重要数据,使用ACL限制135、139、445端口的入站,最好及时安装补丁。
1、如果本机安装有安全防护软件,限制了勒索软件的运行,则本机数据安全无虞,此时也不面临对外继续传播的风险的,需要做的就是继续排查攻击源。后面详细讲述排查攻击源的方法。
2、如果勒索软件已经开始运行,需要紧急做两件事:
(1)限制继续对外传播:首先netstat -an > result.txt 之后拔掉网线
(2)停止本机继续受到侵害:
感染后的三个阶段:
1、smb被爆,感染了wannacry,并连接固定url(54.153.0.145):http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com;连接成功停止运行,否则继续执行(防止虚拟机、沙箱分析)因为沙箱对不存在的域名请求也会解析。
2、释放了mssecsvc.exe,运行C:WINDOWSmssecsvc.exe -m security,参数小于2,所以安装并启动服务。然后释放tasksche.exe到C:WINDOWS下一i参数启动(原来的tasksche.exe被移走)。
3、创建网络库和加密库(dll),初始化payload dll内存。进行磁盘加密并继续攻击其他主机。
注:wannacry的一些特征:
""" 1、大量的对外发送目的端口为445的报文,且目的IP不局限与内网、包含公网。 2、每个目的地址每次发送的报文并不多,大概2-4个 3、部分流量特征码:(16进制): *5043204e4554574f* 00000054ff534d42720000000018012800000000000000000000000000002f4b0000c55e003100024c414e4d414e312e3000024c4d312e325830303200024e54204c414e4d414e20312e3000024e54204c4d20302e313200 """
感染过程中需要及时杀毒:
拔掉网线、结束进程树、关闭服务、查杀病毒文件:
结束进程树:
""" mssecsvc.exe tasksche.exe """
关闭服务:
1 """ 2 Microsoft Security Center(2.0)Service 3 """
查杀病毒软件
""" md5值 tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6e mssecsvc.exe 854455f59776dc27d4934d8979fa7e86 qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e (1)系统目录查看 文件一般位于系统盘下的windows目录,例如c:windows,通过命令提示符进入: cd c:windows dir /od /a *.exe (2)全盘查找 dir /od /s /a tasksche.exe dir /od /s /a mssecsvc.exe """
三、局域网内主机保护
1.在内网策略中限制135、139、445端口。
2.在其他主机上脱机打补丁之后在连网。
3.将所有已被感染的未完成查杀和安全检测的主机隔离出内网。
4.对内网主机做安全加固(除关闭相应端口和打补丁之外,还需要安装防御和查杀病毒的软件)
四、攻击源追查
1、查看windows系统日志,确定中招时间:
2、查看该时段及其之前一段时间的安全日志登录,是否有非正常登录行为(重点可疑)
3、查看网络通信行为,记录最近一段时间的网络通信,关注针对该主机IP的445、139、135端口的通信。