据我们的高级安全研究员Kyle Wilhoit (@lowcalspam)称,这是信息安全领域忙碌的一周,WannaCry 1.0(启用kill-switch)和2.0(不启用kill-switch)正在流行,至少截至5月16日,已经从比特币支付中获得了超过7.5万美元。作为DomainTools,我们当然注意到了域名注册在WannaCry事件中扮演的关键角色。
但与普通的恶意软件相比,这个故事有一些深刻的颠倒:故事中心的域名实际上是一个你“希望”你的设备呼叫的域名,因为如果WannaCry从该域名得到响应,它就会自动关闭。这可能是一种用来检测恶意软件是否在安全沙盒中的机制——设计者的理论可能是,许多沙盒都会对恶意软件试图调用的任何命令和控制(C2)基础设施提供某种响应,尽管是欺骗的。配置沙盒的人可能已经做了一些事情,比如告诉本地DNS服务器将所有查询指向特定的服务器。因此,每个域都将从该服务器接收一些基本响应。值得注意的是,这实际上可能不是这个“终止开关”的最初意图;这种行为可能是一个错误。除非作者出面解释,否则我们可能永远无法确定。然而,他们并没有注册这个域名,一个思维敏捷的安全研究人员注册了。一旦它弹出并开始回复,1.0版恶意软件的传播就几乎停止了。
在正常情况下,如果您发现一个域绑定到僵尸网络或恶意软件的命令和控制(C2)基础设施,则希望阻止该域。而且,如果你使用DomainTools或类似的DNS/域配置文件调查和分析工具,你也会寻找与恶意软件相关的其他基础设施并阻止它。但对于第一个版本的WannaCry,这样做将允许恶意软件继续其快乐的方式,加密你的数据。简而言之,这是一个证明规则的例外的完美例子。
为什么它能证明这个法则呢?如果其他恶意软件遵循这种模式,并具有与域相关的终止开关怎么办?这似乎不太可能。由于大量的潜在受害者能够调用C2域,因此恶意软件作者重复这种方法是不明智的。也许最能证实这一点的是,修改后的WannaCry病毒禁用了这一“功能”,在撰写本文时,它正在全球各地忙于加密文件。
因此,大局保持不变:如果你检测到基础设施,如域名或IP地址,与不良联系在一起,重要的是挖掘诸如Whois记录、被动DNS数据库和其他域配置文件信息等来源,以找到并阻止相关的基础设施。WannaCry 1.0可能与这一建议不期而遇,但下一个大威胁可能不会如此。
注意安全。
