201705170912WannaCry 勒索軟體分析 - from TWCERT

從上週五開始 WanaCry 病毒的議題在新聞、Social Network 撲天蓋地的討論起來,罕見的連媒體也連番的報導,當然在這我就不在講怎麼關SMB或防制 WanaCry。想分享的是 TWCERT 出了一份 WanaCry 勒索軟體行為分析報告,很值得想對資安進一步瞭解的朋友做參考。

不免俗的,如果還是想知道怎麼處理 WanaCry 請參考底下連結:
> WannaCry企業自救術 http://www.ithome.com.tw/news/114154 
> 別哭!被WannaCry加密的檔案有機會救回 http://www.ithome.com.tw/news/114258 
> 如何面對WannaCry加密勒索病毒?建議參考在這裡 http://www.ithome.com.tw/newstream/114151 

完整 TWCERT CC 的分析報告

官網報告:https://twcert-official-file.s3.hicloud.net.tw/TWCERTCC-MIFR-2017001.pdf     這個檔案目前仍在持續更新,建議以官網檔案為主
備份:http://sync.hamicloud.net/_oops/tolarku/l80 


圖片來源:https://twcert-official-file.s3.hicloud.net.tw/TWCERTCC-MIFR-2017001.pdf 


圖片來源:https://pbs.twimg.com/media/C_z7WktXsAEC01r.jpg
使用工具:

Windows 7 沙箱
system explorer 進階版的Windows 工作管理員
Directory Monitor 資料夾異動監控軟體
Piriform Recuva 救援被刪除的檔案

搭配著 TWCERT 所使用的軟體,有心想進一步瞭解系統或資安的朋友,可以利用這些工具觀察特定軟體或病毒的行為模式。

QQ:那有辦法搜尋到誰的主機中毒了嗎?
Ans:今天資安全方位FB社團版主提供了一種搜尋的方式  「 intitle:index of intext:wncry site:tw 」這樣可以找到網域為TW結尾的網頁主機,哪些中了 wanacry 

 

-- 底下是八拉八拉廢話,可以不用繼續看下去 ------------

在這要大肆稱讚一下 ithome 整體訊息發佈速度快有效率,也不是空話要你做什麼更新要保護之類的話
從一開始病毒發生 ptt, mobile01 有人發出求救訊息後,我的某一篇「關閉SMB」流量就瞬間暴漲,但那不是處理 WanaCry 直接的對應機制,所以網路上就一堆盲找相關處理機制的搜尋,或許是這個病毒比較單純,很快的就被找到行為模式 pattern,ithome 也很快的發佈處理的機制,而我單位的資訊部門也在星期一下午發送相對的處理機制(單位內某人的FB還抱怨著「XX你也幫幫忙,下午兩點才發通知大家怎麼預防勒索病毒...要中毒早就遭殃了好吧!...(略)....而且是這樣寫大家都是電腦高手好棒棒通通看的懂!」)...但是...行政院資通安全會報官網  http://www.nicst.ey.gov.tw/  首頁看不到相關報導,需要點進去重點消息才會看到

身為IT人員,我真的也覺得同事寫的那篇通知信內容很差,真的廢話又無用,處理方式還得點連結去看,那跟我自己 Google 有什麼不同,幹嘛還要你通知
但是,反過來說...資安問題那麼多,時時刻刻都有新的問題,又有誰能提出真的解決方式(除了不要開機、不要上網這屁話),身兼數職的IT人員,又有多少資安專業能對問題進行剖析

迷思或問題
> 這種發生在週末的病毒,資訊人員應該找到適切的處理機制,甚至於週末先關閉防火牆其攻擊而沒用到的連接埠
> 資訊人員應該第一時間處理
資訊人員應該有能力可以處理病毒、木馬、殭屍電腦
> 資訊人員平常都很閒坐在那裡,只會花錢沒有生產力
> 如果把所有資安漏洞,問題處理都升級到最高等級,有多少人可以接受看似安全的作業系統,其實每天都一堆漏洞在發佈而且需要修補呢?

資安漏洞有多少,來看看 CVE 這個列表,讓你看的嫑嫑的
https://cve.mitre.org/data/downloads/allitems.html 

~END

QQ:到底是 WannaCry 還是 WanaCry 呢?
No Ans:WannaCry 可以找到 27,800,000 筆,而 WanaCry 可以找到 236,000 筆,在跳出的紅色視窗中寫的是 Wana Decrypt0r 2.0
WannaCry / WanaCrypt0r 2.0 / WCry 都有人用

回應
Google Search
Google
累積 | 今日
loading......
平均分數:0 顆星
投票人數:0
我要評分:
Google