關(guān)于WannaCry的原理解釋
那個(gè)注冊網(wǎng)站的安全小哥的博文:
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html關(guān)于解釋病毒原理的文章:
http://blog.talosintelligence.com/2017/05/wannacry.html-
關(guān)于445端口
- 大家現(xiàn)在知道的應(yīng)該是這是一個(gè)利用windows 445端口來進(jìn)行傳播的病毒.
- 445端口是SMB協(xié)議的,就是基于TCP/IP或其他網(wǎng)絡(luò)協(xié)議之上的,簡而言之就是可以網(wǎng)絡(luò)傳播的一個(gè)端口.
- WannaCry在你的電腦上搜索你連接的所有子網(wǎng)下的PC,然后利用445端口進(jìn)行傳播,這就是為什么要關(guān)閉445端口.
- 前段時(shí)間
ShadowBroker組織對NSA的方程式泄漏事件,有興趣的可以了解一下
-
關(guān)于為什么說現(xiàn)在傳播被遏止了
病毒示例圖.png
- `sandBox`:這是一種安全防護(hù)的措施,當(dāng)有類似病毒侵入時(shí),并不立刻阻止,而是在沙盒模式下運(yùn)行,當(dāng)判斷其真正為病毒時(shí),將其阻止并回滾到病毒入侵之前.
- 黑客組織為了判斷是否進(jìn)入sandBox,他向一個(gè)長亂碼網(wǎng)站進(jìn)行HTTP/GET請求,這個(gè)網(wǎng)站沒有進(jìn)行域名注冊,所以DNS服務(wù)器無法解析,而他在沙盒中注冊了這個(gè)網(wǎng)站,當(dāng)進(jìn)入沙盒時(shí)就會(huì)有響應(yīng),然后執(zhí)行exit.代碼示例如上.
- 因?yàn)檫@個(gè)亂七八糟網(wǎng)站被國外的安全小哥注冊了,所以傳播理論上已經(jīng)被阻止了,只不過被感染的無法恢復(fù).
- 關(guān)于病毒加密的原理
- 因?yàn)椴皇茄芯啃畔踩?我就大致描述一下病毒入侵流程
- 初始文件
mssecsvc.exe,執(zhí)行tasksche.exe - 執(zhí)行
kill switch domain - 創(chuàng)建
mssecsvc2.0 - 重新執(zhí)行
mssecsvc.exe,并且檢查在同一子網(wǎng)下你的PC嘗試用445端口TCP連接的所有PC(微軟的MS17-010補(bǔ)丁修復(fù)了關(guān)于這里的漏洞) -
tasksche.exe檢測所有的硬盤驅(qū)動(dòng),類似于C:/,對其進(jìn)行2048-bit RSA加密,創(chuàng)建一個(gè)Tor/目錄,并扔入tor.exe和9個(gè)相關(guān)的dll以及taskdl.exe&taskse.exe -
tasksche.exe執(zhí)行在桌面顯示勒索信息 - 有興趣的可以了解一下RSA加密原理.
- 實(shí)時(shí)監(jiān)控全球被感染PC的圖
https://intel.malwaretech.com/WannaCrypt.html
