حتى وقت قريب، واستخدام شبكة تسربت NSA ترسانة "الخالدة الأزرق (EternalBlue)" WannaCry الابتزاز البرمجيات الضعف انتشار على ظهر الإنترنت، وخصائص دودة المسح الفعالة جنبا إلى جنب مع استغلالها عن بعد في الشبكة الكلية، المحلي انتشار شبكة المنطقة بسرعة ، له تأثير هائل.
معهد الفريق الابتكار البرمجيات التآزر أول مرة استخدام البحوث المستقلة وفريق تطوير "كينغ كونغ نظام تحليل المعلومات الاستخبارية البرمجيات الخبيثة" ( لتحليل عينة الآلي، تحليل الارتباط ونشر التقرير. نظام الإبلاغ، وإظهار بصريا المعلومات WannaCry البرمجيات عملية هجوم الابتزاز النقدي، توفر ملفات المتوسطة صدر، وشبكة اتصالات بدأت لبسرعة، معرفة دقيقة لآلية البرمجيات الخبيثة لتحديد آليات التعامل عونا كبيرا. تحليل وتقرير جيل كامل، عملية تحليل كفاءة الإكمال التلقائي هو الدعم الفني المهم للاستجابة السريعة لالبرمجيات الخبيثة.
لمساعدتك على فهم أفضل للهجمات WannaCry البرامج والابتزاز، ونحن الجمع بين تقنيات التصوير لتفسير برمجيات تحليل تقرير الابتزاز.
أولا، ذات الصلة البرمجيات الأولى الابتزاز WannaCry نتائج تحليل العينات
13 مايو، تحليل "كينغ كونغ نظام تحليل المعلومات الاستخبارية البرمجيات الخبيثة" للعينة الأولى WannaCry الابتزاز البرامج ذات الصلة، تقرير تحليل كامل نرى هنا ( 22bfa9109ab9d405af4188867620c730 وكورونا = 60036875).
وكما يتبين من تحليل عملية تشغيل الطلقات، لأداء العينة الأولية دون أي أداء ملحوظ، ولكن يتم استبدال تحليلها لاحقا من سطح المكتب المضيف، الرسالة المنبثقة مكتب الاستقبال، وهذه المرة بعد فوات الأوان، لكل مستخدم وقد ملف مشفر الأنواع (FIG 1، FIG 2).
نموذج تشغيل نظام تحليل 1 عملية في الصورة
الشكل 2 العدوى بعد لقطات من الابتزاز عينة نظام تحليل
يمكن أن ينظر إليه التقرير من قائمة سلوكنا وسلوك ديناميكية المخطط المنطقي، والإفراج عن عدد كبير من العينات وكذلك البرامج القابلة للتنفيذ الخفافيش، فبس والكتابات الخبيثة الأخرى، واستخدام هذه الإجراءات، ومخطوطات، ويندوز أداة النظام التي تأتي معا لاستكمال الغرض من الهجوم . على سبيل المثال، كانت مخبأة الذاتي من قبل أدوات النظام ATTRIB، أدوات ICACLS استخدام للحصول على تشغيل ملف السلطة، واستخدام استعادة النظام ميزة VSSADMIN الضرر أداة، استخدم برنامج لاستيراد ريج التسجيل تحقيق الذات ابتداء، وما إلى ذلك (الشكل 3).
السلوك الديناميكي FIG من المخطط المنطقي (جزء) من العينة 3
بعد الانتهاء من الاستعدادات لعينة المذكورة آنفا بدأ الهجوم على المهمة الأكثر أهمية - تشفير الملفات. في القائمة، يمكنك أن ترى الكثير من السلوك المرتبطة سلوك عمليات الملفات، بما في ذلك تعديل سمات الملف، القراءة والكتابة الملفات، تعديل وقت إنشاء ملف، وإعادة تسمية الملف. وهذه هي بالتحديد ملفات المستخدم WannaCry مشفرة العملية بالتفصيل (الشكل 4).
FIG 4 عينات سلوك ضار (جزء)
ملاحظة تفصيلها بشكل أكبر من البيانات السلوكية عينة يمكن العثور على، البرنامج هجوم بإنشاء ملف يسمى WNCRYT تمديد مؤقت لكل ملف، والتي أنشئت بعد الانتهاء من وقت إنشاء ملف، إعادة تسمية تشفير الملفات ملف WNCRY مؤقت.
الفدية نوع الملف المشفر واسع جدا، بما في ذلك DOC و XLS، JPG وغيرها من الوثائق والصور، وتحديدا يتم تشفير تلك الملفات نظرة مثل ذلك؟ قبل تحميل عرض يمكن أن ينظر إلى تقرير تحليل "ملف وسيط"، تحولت رأس ملف مشفر إلى "WANACRY!" شعار (الشكل 5).
الرقم 5 محتويات وثيقة مشفرة ملف وعينة مشفرة
بالإضافة إلى التخريب المضيف أعلاه، وأيضا خلال العملية من العينة التي لوحظت في عدد كبير من سلوك الشبكة، مسح كبير عناوين IP بشكل عشوائي (FIG 6).
FIG 6 العينة أزواج ولدت عشوائيا عناوين IP التي تم إنشاؤها بواسطة سلوك اتصال شبكة المسح الضوئي
ثانيا، تحليل عينة كاملة
في الواقع، فإن تقارير تحليل العينة أعلاه فقط WannaCry مهاجمة الوحدة الأساسية (وهذا هو، وتحليل تقرير tasksche.exe التالية)، من أجل فهم أفضل لعملية من هذا الهجوم الفدية، لدينا لاستكمال وقد تم تحليل عينات WannaCry.
1، تحليل عينة البيئة الشبكية
أولا وقبل كل شيء، نحن WannaCry ابتزاز برنامج للتحليل باستخدام "كينغ كونغ نظام تحليل المعلومات الاستخبارية البرمجيات الخبيثة" في بيئة شبكية، تقرير تحليل كامل نرى هنا ( = 61849283).
نموذج 7 أثناء تشغيل نظام تحليل ضمن موضوع
كما هو مبين في الشكل 7، يمكن أن ينظر إليه من إجراء عملية تحليل للقطة، بعد الإصابة في العينة المضيف، يمكن للتحليل للكشف عن المضيف دون حدوث أي تغيير. من الرسم التخطيطي السلوك الديناميكي للعينة، سوى عينة وكمية صغيرة من الوصول إلى الشبكة التسجيل السلوك، ملف العمليات السلوك الخارجي، أي سلوك غير طبيعي واضح، كما هو مبين في الشكل.
8 عينات السلوك الديناميكي للمنطق FIG.
ويمكن أيضا أن ينظر إليه من تحليل القبض على المضيف حركة مرور الشبكة، العينة باستثناء طلب DNS خاص لاسم النطاق وwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com HTTP الوصول، والمسح الضوئي وأي هجمات، كما هو مبين في الشكل.
FIG 9 عينات تحليل النتائج ولدت حركة مرور الشبكة
2، من صافي تحليل العينات البيئية
وفي وقت لاحق، ونحن مرة أخرى WannaCry ابتزاز برنامج للتحليل باستخدام "كينغ كونغ نظام تحليل المعلومات الاستخبارية البرمجيات الخبيثة" خارج بيئة الشبكة، تقرير تحليل كامل نرى هنا ( = 24e8d220aadc4ecfc6cadec0690d2ad2 وكورونا = 52620589).
وكما يتبين من التحليل، وقدمت العينات إلى الوحدة الأساسية مع تحليل مماثل لتشفير البيانات ومسح السلوك انتشار السلوك، والسلوك الديناميكي للعينات منطق تقرير FIG كامل قد تظهر الهجوم الكامل للعينة في تحليل المضيف العملية، وجميع السلوك عمليات المسح وتشفير البيانات والاتصالات، كما هو مبين في الشكل.
FIG 10 عينات السلوك الديناميكي للمنطق FIG.
ويمكن أيضا أن ينظر إليه من تحليل المضيف حركة مرور الشبكة القبض عليه، عينة من DNS طلب www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com هذا مجال معين، لأن المضيف في تحليل الدولة خارج الشبكة، والطلب لا تحصل على رد. استمر عدة عينات تنتقل بعد طلب دقة اسم النطاق DNS، ومسح الهجمات بدأت تولد عشوائيا عناوين IP للميناء 445، كما هو مبين في الشكل.
شبكة تحليل حركة المرور نتيجة العينة 11 ولدت في FIG.
من العينة تحت بيئة شبكية وخارج بيئة الشبكة ويمكن رؤية نتائج التحليل، الفدية WannaCry سواء لأداء أعمال عملية التشفير الهجمات التخريبية البيانات بعد المضيف المصاب، والبرمجيات الابتزاز قادر على الوصول بنجاح www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com هذا الموقع خاص ترتبط ارتباطا وثيقا. وبعبارة أخرى، www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com هو مفتاح للسيطرة على الأضرار وعملية الاتصال السرية الفدية، وتقارير أخرى النتائج التي تم الحصول عليها من هذا التحليل والتحليل من مستوى الرمز هو نفسه. ومع ذلك، فمن الجدير بالذكر أنه الفدية WannaCry فقط إذا كان الموقع يمكن الوصول إلى التبديل لا نهاجم إلا الضرر، الذي يشبه منطق التقليدي من البرامج الضارة تبديل سرا العكس!
وبالإضافة إلى ذلك، من WannaCry الفدية تحليل عينة كاملة والمقارنة مع الوحدة الأساسية للتقرير يمكن العثور عليها، والفرق بين العينة والوحدات الأساسية كاملة الفدية بشكل رئيسي في الوصول www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com إلى هذا المجال التبديل الخفية للعمل على. وبعبارة أخرى، يمكن للمهاجمين الاستفادة من نقاط الضعف الأخرى النائية، وكذلك البريد الإلكتروني، والرسائل الفورية، موقع ويب ونشرها الآخر من حدة الهجوم الضعف الأساسية، ونظام مصححة، شبكة تبادل تعطيل، ومنع الوصول إلى الموانئ 445 وغيرها من التدابير لمقاومة " الأزرق الأبدي (EternalBlue) "مآثر، ولكن منع WannaCry وغيرها من البرامج الضارة مماثل لا يزال الطريق طويلا!
المؤلف هو معهد مهندس كبير من البرامج
معهد البرمجيات، والأكاديمية الصينية للعلوم، "البرنامج تحليل المعلومات الاستخبارية" فريق الابتكار التعاوني هو سو روي بو كما تأسست الباحث الرئيسي في فريق البحث، بين الإدارات تحليل شارك في عمق فريق ابتكار البرمجيات المنحى.
