關于WannaCry的原理解釋

關于WannaCry的原理解釋

  • 那個注冊網站的安全小哥的博文:https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html

  • 關于解釋病毒原理的文章:http://blog.talosintelligence.com/2017/05/wannacry.html

  • 關于445端口

    • 大家現在知道的應該是這是一個利用windows 445端口來進行傳播的病毒.
    • 445端口是SMB協議的,就是基于TCP/IP或其他網絡協議之上的,簡而言之就是可以網絡傳播的一個端口.
    • WannaCry在你的電腦上搜索你連接的所有子網下的PC,然后利用445端口進行傳播,這就是為什么要關閉445端口.
    • 前段時間ShadowBroker組織對NSA的方程式泄漏事件,有興趣的可以了解一下
  • 關于為什么說現在傳播被遏止了

病毒示例圖.png
 - `sandBox`:這是一種安全防護的措施,當有類似病毒侵入時,并不立刻阻止,而是在沙盒模式下運行,當判斷其真正為病毒時,將其阻止并回滾到病毒入侵之前.
 - 黑客組織為了判斷是否進入sandBox,他向一個長亂碼網站進行HTTP/GET請求,這個網站沒有進行域名注冊,所以DNS服務器無法解析,而他在沙盒中注冊了這個網站,當進入沙盒時就會有響應,然后執行exit.代碼示例如上.
 - 因為這個亂七八糟網站被國外的安全小哥注冊了,所以傳播理論上已經被阻止了,只不過被感染的無法恢復.
  • 關于病毒加密的原理
    • 因為不是研究信息安全的,我就大致描述一下病毒入侵流程
    • 初始文件mssecsvc.exe,執行tasksche.exe
    • 執行kill switch domain
    • 創建mssecsvc2.0
    • 重新執行mssecsvc.exe,并且檢查在同一子網下你的PC嘗試用445端口TCP連接的所有PC(微軟的MS17-010補丁修復了關于這里的漏洞)
    • tasksche.exe檢測所有的硬盤驅動,類似于C:/,對其進行2048-bit RSA加密,創建一個Tor/目錄,并扔入tor.exe和9個相關的dll以及taskdl.exe & taskse.exe
    • tasksche.exe執行在桌面顯示勒索信息
    • 有興趣的可以了解一下RSA加密原理.
  • 實時監控全球被感染PC的圖
    • https://intel.malwaretech.com/WannaCrypt.html
最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容

  • 朋友圈的一些內容基本刪了,之所以刪了是覺得馬后炮價值不大,朋友圈的很多中招的圖不建議去傳播,因為確實無從考究畢竟現...
    愛尖刀科技媒體閱讀 968評論 0 0
  • 2017年5月12日勒索病毒事件處置工作復盤 一、事件始末: 2017年5月12日勒索病毒在我國出現案例,我公司售...
    哬呸響閱讀 751評論 0 0
  • 情如初漾|文 一個遠房大伯家的兒子今年離婚了,還有一個七八歲的兒子。 現在覺得之所以走到這個地步,雖然有父母的原因...
    情如初漾閱讀 231評論 5 1
  • 讀《易》的過程中,我們繞不過對卦辭和爻辭的解讀,而卦爻辭也是眾所周知的詰屈聱牙,晦澀難懂。歷代易學著作大多都在考證...
    童年的流星閱讀 352評論 4 6
  • 親愛的10組家人們,大家早上好,很感恩大家能夠匯聚一堂,共同分享上一周每個人的踐行情況。我先用4點分享上周的做的哪...
    13組223魏曉花閱讀 215評論 3 6