• 本文作者: lizhe
  • |
  • 2017年5月15日
  • |
  • 安全动态
  • |

WannaCry 勒索蠕虫变种样本分析报告

阿尔法实验室 李喆

概述:

阿尔法实验室对Wannacry 新出现的变种样本做了进一步分析,本报告主要对比新出现的样本和之前分析过的样本做了功能对比分析。分析新出现的样本是否具备其他恶意功能,是否需要在防护上做进一步处理。上一篇的样本分析可以看这里:

http://blog.topsec.com.cn/?p=2230

WannaCry 样本介绍

样本介绍:

在我们之前的分析中,我们分析的是

w2-6

这次新出现的样本为:

w2-7

变种1对比分析:

首先我们先拿我们之前分析的样本和变种1 做了一个对比

发现只是修改了一下域名开关:

w2-1

我们可以看到2E 69后面开始不一样了,我们推测变种1只是在原始样本的基础上修改了二进制而成。所以经过判断,变种1的域名只要保持联通就不会照成恶意勒索蠕虫的进一步扩散。但不排除将来域名关闭之类的情况发生,所以不能依赖于这个域名开关。

w2-2

变种2对比分析:

第二个变种,这个样本里没有了那个域名开关,跳转发生了变化

w2-3

这个是原始的75 15 跳转

w2-4

这是变种2 : 75 00 的跳转

所以将来可能还会有新的变种通过修改二进制生成的变种文件做其他的恶意操作。

还有不同的是这个样本在解压缩出了问题,但是扫描传播功能还是可以使用的(通过永生之蓝传播)

w2-5

目前这个样本还没有人中招,同样,这个变种二样本,即使不能解压缩,但是传播的功能还在。

 

总结:

针对这个两个变种样本,变种1和原始样本只是域名发生了变化,同时仍保留了网址开关功能,所以目前防御方案依然有效。变种2虽然在解压缩出了问题,但是还是可以依靠永恒之蓝漏洞进行传播,但是不能造成进一步恶意勒索破坏,所以目前的防御方案仍然有效。

同时目前还没有直接的证据发现其它变种蠕虫采取了新的漏洞进行传播,但是不排除将来还有新的变种造成更大的安全影响,所以请尽快按照目前通用的防御措施防御:

1、及时更新操作系统补丁,安装MS17-010补丁。

2、关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限,在服务器上关闭不必要的上述服务端口

3、加强对445等端口(其他关联端口如: 135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为

4、定期在不同的存储介质上备份信息系统业务和个人数据

5、 windows停止更新的系统补丁,xp补丁已经提供,请尽快下载打好补丁https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

6、开启防火墙

 

 

 

Written by lizhe