关于WannaCry的原理解释

关于WannaCry的原理解释

• 那个注册网站的安全小哥的博文:https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

• 关于解释病毒原理的文章:http://blog.talosintelligence.com/2017/05/wannacry.html

• 关于445端口

  • 大家现在知道的应该是这是一个利用windows 445端口来进行传播的病毒.
  • 445端口是SMB协议的,就是基于TCP/IP或其他网络协议之上的,简而言之就是可以网络传播的一个端口.
  • WannaCry在你的电脑上搜索你连接的所有子网下的PC,然后利用445端口进行传播,这就是为什么要关闭445端口.
  • 前段时间ShadowBroker组织对NSA的方程式泄漏事件,有兴趣的可以了解一下

• 关于为什么说现在传播被遏止了

病毒示例图.png

 - `sandBox`:这是一种安全防护的措施,当有类似病毒侵入时,并不立刻阻止,而是在沙盒模式下运行,当判断其真正为病毒时,将其阻止并回滚到病毒入侵之前.
 - 黑客组织为了判断是否进入sandBox,他向一个长乱码网站进行HTTP/GET请求,这个网站没有进行域名注册,所以DNS服务器无法解析,而他在沙盒中注册了这个网站,当进入沙盒时就会有响应,然后执行exit.代码示例如上.
 - 因为这个乱七八糟网站被国外的安全小哥注册了,所以传播理论上已经被阻止了,只不过被感染的无法恢复.

• 关于病毒加密的原理
  • 因为不是研究信息安全的,我就大致描述一下病毒入侵流程
  • 初始文件mssecsvc.exe,执行tasksche.exe
  • 执行kill switch domain
  • 创建mssecsvc2.0
  • 重新执行mssecsvc.exe,并且检查在同一子网下你的PC尝试用445端口TCP连接的所有PC(微软的MS17-010补丁修复了关于这里的漏洞)
  • tasksche.exe检测所有的硬盘驱动,类似于C:/,对其进行2048-bit RSA加密,创建一个Tor/目录,并扔入tor.exe和9个相关的dll以及taskdl.exe & taskse.exe
  • tasksche.exe执行在桌面显示勒索信息
  • 有兴趣的可以了解一下RSA加密原理.
• 实时监控全球被感染PC的图
  • https://intel.malwaretech.com/WannaCrypt.html