新的 WannaCry 蠕蟲有哪些變化？

　　微步在線分析發(fā)現(xiàn)，該變種蠕蟲仍然使用一個“秘密開關(guān)”域名來決定是否進行后續(xù)的加密勒索。與第一波攻擊中不同的是，此變種的開關(guān)域名發(fā)生了變化，新的開關(guān)域名為 www. ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com。對比發(fā)現(xiàn)，該開關(guān)域名與舊的開關(guān)域名僅有兩個字母的差別：

　　此外，根據(jù)微步在線的威脅分析平臺分析，新的開關(guān)域名也已被安全研究者接管，因此該變種傳播后的加密行為可以被有效遏制。該變種的制造者繼續(xù)使用 kill switch 版本的動機尚不明確。

　　值得注意的是，由于在國內(nèi)部分地區(qū)暫時無法解析該域名，所以依然會出現(xiàn)攻擊后被加密的情況。

　　企業(yè)如何應(yīng)對該變種蠕蟲？

　　根據(jù)新變種蠕蟲的特點，我們建議企業(yè)緊急采取如下措施:

l  新的開關(guān)域名在國內(nèi)部分地區(qū)無法正常解析，根據(jù)蠕蟲的執(zhí)行邏輯，這會造成失陷機器被執(zhí)行加密勒索。因此，我們強烈建議增加對新的開關(guān)域名的內(nèi)網(wǎng) DNS 解析，并且保證對應(yīng)的 web 服務(wù)器 80 端口能夠正常訪問。請注意，對于默認(rèn)需配置 proxy 連接互聯(lián)網(wǎng)的機器，該蠕蟲將無法使用系統(tǒng) proxy 設(shè)置連接互聯(lián)網(wǎng)和秘密開關(guān)域名，建議配置內(nèi)網(wǎng) DNS 解析。

l  盡快升級存在漏洞的機器，此次新的變種印證了我們之前的推測，新的 WannaCry 變種攻擊隨時可能來臨。具體的補丁升級步驟，請參考我們之前發(fā)布的報告。

　　該變種目前的影響有多大？

　　目前我們捕獲到該變種的兩個樣本：

1. https://x.threatbook.cn/report/c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
2. https://x.threatbook.cn/report/32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf

　　同時，根據(jù)微步在線掌握的威脅情報信息，該變種已在互聯(lián)網(wǎng)進行傳播，而并非僅在實驗環(huán)境存在。但根據(jù)我們掌握的信息，目前新變種的攻擊范圍較小，不排除后續(xù)大規(guī)模爆發(fā)的可能性。

　　黑客為什么設(shè)置這個秘密開關(guān)域名？

　　真相是：這并不是一個秘密開關(guān)，Sorry…

　　站在反病毒一線的安全研究人員應(yīng)該了解，木馬為了躲避一些自動化的惡意軟件分析系統(tǒng)（比如沙箱），會在運行前檢測當(dāng)前的運行環(huán)境是一個真實用戶的機器還是用于惡意樣本分析的虛擬環(huán)境。如果檢測發(fā)現(xiàn)是后者，木馬會采取完全不同的運行路徑，比如直接退出。此外，沙箱環(huán)境為了避免惡意樣本運行過程中對外界網(wǎng)絡(luò)環(huán)境產(chǎn)生危害，通常會將惡意樣本產(chǎn)生的網(wǎng)絡(luò)流量進行攔截，同時為了保證惡意樣本能夠正常運行，對于惡意樣本的網(wǎng)絡(luò)請求(如 DNS、HTTP）會模擬返回響應(yīng)結(jié)果。這樣做存在一個缺點，如果一個惡意樣本利用上述沙箱特性進行針對性的檢測，在樣本發(fā)現(xiàn)自己運行在一個虛擬的沙箱環(huán)境中后，為了避免被檢測到，采取隱藏自己惡意行為的措施或者直接退出運行。

　　我們推斷此次 WannaCry 勒索木馬使用這個秘密開關(guān)域名的原因就是為了進行沙箱環(huán)境的檢測，逃避沙箱的自動化檢測，進而延長自己的存活時間。原因有以下兩點：

　　根據(jù)微步在線威脅分析平臺的數(shù)據(jù)顯示，此秘密開關(guān)域名從未被攻擊者注冊過，而是被安全人員發(fā)現(xiàn)后搶注。如果作為控制開關(guān)，黑客應(yīng)該自己注冊和掌控該域名；

　　攻擊者很可能是在 WannaCry 樣本中內(nèi)置一個隨機的未注冊的域名(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，該秘密開關(guān)域名的隨機程度達(dá)到了 97.77%，夠不夠隨機？)，在運行過程中用于判斷是否會有網(wǎng)絡(luò)響應(yīng)，進而判斷是否運行在虛擬的沙箱環(huán)境中，如果是則直接退出。這也符合之前我們對該樣本的分析結(jié)論。

　　是不是設(shè)置了秘密開關(guān)的域名解析，就不會被攻擊了？

　　不是。黑客隨時可能發(fā)起新的攻擊，使用不含此開關(guān)的新蠕蟲。所以設(shè)置好 DNS 疫苗緩解之后，盡快安裝補丁才是王道！

　　WannaCry 木馬是否存在潛伏期？

　　沒有，木馬執(zhí)行后會首先連接秘密開關(guān)域名，如果連接成功，則直接退出，在沒有其他人為因素觸發(fā)（比如雙擊執(zhí)行）的前提下，不會再執(zhí)行，也不會再有危害。但如果受害者沒有打補丁很可能會再次感染，重復(fù)這個過程。所以及時打補丁是關(guān)鍵。

　　設(shè)置了這個秘密開關(guān)域名的 DNS 解析，會不會反而被黑客控制？

　　不會。原因如下：

　　該域名已被安全機構(gòu)掌握，該機構(gòu)目前信譽良好

　　木馬連接該域名后并不會請求和下載任何內(nèi)容，僅作網(wǎng)絡(luò)連通性測試。即便該域名被黑客掌握，也沒有危害。

　　針對秘密開關(guān)域名的內(nèi)部 web 服務(wù)器如何配置？

　　昨天我們報告發(fā)布后，已有多家企業(yè)用戶按照報告中的建議進行部署，效果顯著。

　　搭建針對秘密開關(guān)域名的具體過程如下：

　　修改內(nèi)網(wǎng)的 DNS 服務(wù)器配置，將 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析地址指向內(nèi)網(wǎng)一臺 Web 服務(wù)器，該服務(wù)器必須為內(nèi)網(wǎng)所有機器可達(dá)，且開放 80 端口。如果有多臺 DNS 服務(wù)器，則需要一一進行修改。

　　如果內(nèi)網(wǎng)沒有 Web 服務(wù)器，需臨時搭建一臺 Web 服務(wù)器且保證該服務(wù)器能夠正確響應(yīng)根目錄的 Get 請求，即保證 web 服務(wù)器正常工作，同時監(jiān)聽端口設(shè)置必須為 80。

　　關(guān)于 WannaCry 還有那些最新研究發(fā)現(xiàn)？

　　除了上述最新變種外，微步在線還發(fā)現(xiàn)一個新的 WannaCry 樣本，該樣本并未使用 kill switch。經(jīng)分析發(fā)現(xiàn)，該樣本屬人為修改 patch 了原樣本中 kill switch 相關(guān)代碼，經(jīng)測試該變種無法有效進行加密，因此我們認(rèn)為該變種后續(xù)大范圍傳播的可能性極小。

　　該樣本的其他信息：https://x.threatbook.cn/report/07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd

　　解決方案

　　周一上班前后企業(yè) IT 管理員如何應(yīng)對？

　　對于企業(yè)的 IT 管理員和信息安全管理員，我們推薦按照以下舉措進行應(yīng)急響應(yīng)：

　　周一上班前

鑒于該勒索軟件需要連通上述開關(guān)域名，才會停止加密。因此，如果內(nèi)網(wǎng)機器沒有外網(wǎng)訪問權(quán)限，建議客戶在內(nèi)網(wǎng)修改此開關(guān)域名的內(nèi)網(wǎng)解析，并且將解析 IP 指向在線的內(nèi)部 web 服務(wù)器；如果內(nèi)網(wǎng)機器具有外網(wǎng)訪問權(quán)限，則無須采取額外措施。

微軟已于 2017 年 3 月份修復(fù)了此次三個高危的零日漏洞，建議使用域控緊急推送微軟官方的補丁[1]，修復(fù)上述漏洞。

WindowsXP、WindowsServer 2003 微軟官方已經(jīng)緊急發(fā)布針對此次事件的特殊補丁[2]，因此建議相關(guān)使用域控緊急推送上述補丁，修復(fù)漏洞。

在企業(yè)防火墻增加訪問控制策略，關(guān)閉 TCP137、139、445、3389 端口的互聯(lián)網(wǎng)訪問。

對于部署了微步在線威脅情報平臺的客戶，可檢查平臺的報警來迅速定位感染主機，制定緊急處置計劃，在上班后第一時間予以清理。

　　周一上班后

第一時間，通過各種渠道通知企業(yè)員工按照本報告中的“周一上班后企業(yè)員工如何開機？”的建議進行操作，防止被 WannaCry 勒索軟件攻擊。

監(jiān)控搭建好的 web 服務(wù)器的訪問請求，一旦發(fā)現(xiàn)新的訪問，說明極有可能對應(yīng)的內(nèi)網(wǎng)機器已經(jīng)被感染，需要緊急聯(lián)系對應(yīng)的員工進行處置，清理惡意軟件。

對于部署了微步在線威脅情報平臺的客戶，可通過平臺的報警監(jiān)控能力，關(guān)注是否有新增感染主機，防范風(fēng)險的擴大。

　　周一上班后企業(yè)員工如何開機？

　　周一上班后，為保證系統(tǒng)安全，建議企業(yè)員工按以下步驟開機：

　　拔掉網(wǎng)線

　　開機

　　啟用了 Wifi 的請開機后第一時間關(guān)閉 Wifi

　　關(guān)閉重要端口，步驟如下(以 Win7 和 Win10 為例):

　　a) 進入電腦的”控制面板”界面

　　b) 啟用”Windows 防火墻”

　　c) 進入”高級設(shè)置”

　　d) 在”入站規(guī)則”里，新建規(guī)則

　　e) 選中“端口”，點擊“協(xié)議與端口”， 勾選“特定本地端口”，填寫 137，139，445，3389，端口數(shù)字以逗號間隔

　　f) 點擊下一步，選擇“阻止連接”

　　g) 之后下一步，最后給規(guī)則起個名字，即可。

　　5. 插入網(wǎng)線，聯(lián)網(wǎng)。從微軟官方網(wǎng)站下載相應(yīng)補丁

　　附錄 IOC

　　變種蠕蟲開關(guān)域名

　　www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

　　變種蠕蟲 Hash

　　c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6

　　32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf