[安全预警]“wannacry”新变种”wannasister”可绕过部分主动防御杀毒软件
发布时间:2017-05-17   作者:启明星辰
2017年5月16日,金睛安全研究团队监控到了席卷全球的“wannacry”勒索病毒出现了最新变种,名为“wannasister”。该变种增加了一些反调试功能,同时将主要的勒索模块代码注入到正常的记事本(notepad.exe)进程中,并且其中用于加密AES密钥的内置RSA公钥也与之前的版本有了变化。种种迹象显示,勒索病毒在攻击技术上有了的升级,用户需高度警惕。
Wannasister勒索病毒用了注入正常记事本进程(notepad.exe)的方式。这样做是为了绕过部分杀软的主动防御功能,潜在危害大。因为某些具有勒索保护功能的主动防御类软件是默认放过notepad.exe,winword.exe等文字编辑工具修改文档文件的。
一.逆向技术分析
1.新变种在运行之初增加了一些反调试的功能。
(1) 通过检测DebugPort来检测调试器是否存在。

 
(2)通过检测NtGlobalFlag来检测调试器是否存在。

 
(3) 如果检测出调试器则直接构造异常。

 
2.新变种的主要功能函数写在了窗口回调函数中,手法更加隐蔽
(1) 通过RegisterClassExA注册窗口回调

 
(2)主要的窗口回调函数

 
3.新变种采用了注入正常记事本进程(notepad.exe)的方式。这样做是为了躲避部分杀软的主动防御功能。

 
4.notepad.exe中被注入的代码和wannacry勒索病毒释放的勒索主程序tasksche.exe完全相同。但其内嵌的用来加密AES密钥的RSA公钥出现了变化。

 
二. 沙箱行为技术分析
通过部署网络型沙箱产品可以对wannasister进行行为分析,帮助用户生成内部威胁情报,便于各种安全产品联动,进行下一步的响应处置。

 
三. 防护建议
目前金睛团队获取的Wannasister勒索病毒样本尚未增加蠕虫传播功能但很有可能下
一步会结合邮件、网站下载、甚至通过NSA方程式工具利用的漏洞进行传播,故建议用户及时更新操作系统补丁、不随意打开陌生邮件附件、随意安装来路不明的软件、做好及时数据备份工作。
 
关于VenusEye金睛安全研究团队:
VenusEye金睛安全研究团队是启明星辰集团检测产品本部从事专业安全分析的技术型团队,主要职责对现有产品上报的安全事件、样本数据进行挖掘、分析,并向用户提供专业分析报告。金睛团队会依据数据产生的威胁情报,对其中采用的各种攻击技术深入跟踪分析,并给出专业分析结果、提出专业建议,为用户决策提供帮助
金睛团队成立至今先后发布了《小心,“宏”成为新攻击手法的主力军》、《海德薇Hedwig组织分析报告》、《Locky密锁攻击恶意样本分析报告》、《特斯拉恶意样本分析新解》、《无需担心潜藏了18年的微软浏览器远程代码执行漏洞》、《鼠尾草Sage 2.0攻击样本信息通告》、《“凯莉”嵌套式攻击样本信息通告》、《Office野外0day分析报告》、《2016年度监测数据分析报告》等数十份专业安全分析报告,欢迎下载查阅。
文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号