关于WannaCry的原理解释
那个注册网站的安全小哥的博文:
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html关于解释病毒原理的文章:
http://blog.talosintelligence.com/2017/05/wannacry.html-
关于445端口
- 大家现在知道的应该是这是一个利用windows 445端口来进行传播的病毒.
- 445端口是SMB协议的,就是基于TCP/IP或其他网络协议之上的,简而言之就是可以网络传播的一个端口.
- WannaCry在你的电脑上搜索你连接的所有子网下的PC,然后利用445端口进行传播,这就是为什么要关闭445端口.
- 前段时间
ShadowBroker组织对NSA的方程式泄漏事件,有兴趣的可以了解一下
-
关于为什么说现在传播被遏止了
病毒示例图.png
- `sandBox`:这是一种安全防护的措施,当有类似病毒侵入时,并不立刻阻止,而是在沙盒模式下运行,当判断其真正为病毒时,将其阻止并回滚到病毒入侵之前.
- 黑客组织为了判断是否进入sandBox,他向一个长乱码网站进行HTTP/GET请求,这个网站没有进行域名注册,所以DNS服务器无法解析,而他在沙盒中注册了这个网站,当进入沙盒时就会有响应,然后执行exit.代码示例如上.
- 因为这个乱七八糟网站被国外的安全小哥注册了,所以传播理论上已经被阻止了,只不过被感染的无法恢复.
- 关于病毒加密的原理
- 因为不是研究信息安全的,我就大致描述一下病毒入侵流程
- 初始文件
mssecsvc.exe,执行tasksche.exe - 执行
kill switch domain - 创建
mssecsvc2.0 - 重新执行
mssecsvc.exe,并且检查在同一子网下你的PC尝试用445端口TCP连接的所有PC(微软的MS17-010补丁修复了关于这里的漏洞) -
tasksche.exe检测所有的硬盘驱动,类似于C:/,对其进行2048-bit RSA加密,创建一个Tor/目录,并扔入tor.exe和9个相关的dll以及taskdl.exe&taskse.exe -
tasksche.exe执行在桌面显示勒索信息 - 有兴趣的可以了解一下RSA加密原理.
- 实时监控全球被感染PC的图
https://intel.malwaretech.com/WannaCrypt.html
