關于WannaCry的原理解釋
那個注冊網站的安全小哥的博文:
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html關于解釋病毒原理的文章:
http://blog.talosintelligence.com/2017/05/wannacry.html-
關于445端口
- 大家現在知道的應該是這是一個利用windows 445端口來進行傳播的病毒.
- 445端口是SMB協議的,就是基于TCP/IP或其他網絡協議之上的,簡而言之就是可以網絡傳播的一個端口.
- WannaCry在你的電腦上搜索你連接的所有子網下的PC,然后利用445端口進行傳播,這就是為什么要關閉445端口.
- 前段時間
ShadowBroker組織對NSA的方程式泄漏事件,有興趣的可以了解一下
-
關于為什么說現在傳播被遏止了
病毒示例圖.png
- `sandBox`:這是一種安全防護的措施,當有類似病毒侵入時,并不立刻阻止,而是在沙盒模式下運行,當判斷其真正為病毒時,將其阻止并回滾到病毒入侵之前.
- 黑客組織為了判斷是否進入sandBox,他向一個長亂碼網站進行HTTP/GET請求,這個網站沒有進行域名注冊,所以DNS服務器無法解析,而他在沙盒中注冊了這個網站,當進入沙盒時就會有響應,然后執行exit.代碼示例如上.
- 因為這個亂七八糟網站被國外的安全小哥注冊了,所以傳播理論上已經被阻止了,只不過被感染的無法恢復.
- 關于病毒加密的原理
- 因為不是研究信息安全的,我就大致描述一下病毒入侵流程
- 初始文件
mssecsvc.exe,執行tasksche.exe - 執行
kill switch domain - 創建
mssecsvc2.0 - 重新執行
mssecsvc.exe,并且檢查在同一子網下你的PC嘗試用445端口TCP連接的所有PC(微軟的MS17-010補丁修復了關于這里的漏洞) -
tasksche.exe檢測所有的硬盤驅動,類似于C:/,對其進行2048-bit RSA加密,創建一個Tor/目錄,并扔入tor.exe和9個相關的dll以及taskdl.exe&taskse.exe -
tasksche.exe執行在桌面顯示勒索信息 - 有興趣的可以了解一下RSA加密原理.
- 實時監控全球被感染PC的圖
https://intel.malwaretech.com/WannaCrypt.html
