一、WannaCry简介
WannaCry勒索病毒自5月12日起在全球范围内大面积传播,目前已有150多个国家和地区的30万台电脑遭该勒索病毒感染,我国部分高校内网、大型企业内网和政府机构专网遭受攻击。被感染病毒电脑中的文件会被加密,需支付巨额赎金才能恢复数据。
涉及开放445端口且没有及时安装MS17-010补丁的客户端和服务器系统都将可能面临此威胁。MS17-010漏洞主要影响以下操作系统:Windows 2000,Windows 2003,Windows2008,Windows2012,Windows XP,Windows Vista,Windows7,Windows8,Windows10。
该勒索病毒主要具有2显著特性:
· 蠕虫特性:利用微软Windows现存漏洞,以进行内外网传播
· 勒索特性:加密用户重要文件,以索取赎金
WannaCry蠕虫特性分析:
· 蠕虫代码运行后会先检测域名:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com;
若该域名可成功连接,则退出。(注:此“Kill Switch”及相应机制在后续病毒变种中消失);
如上述域名无法访问,则会继续恶意软件程序逻辑;
· 释放资源到C:\WINDOWS目录下的tasksche.exe,并将其启动;
· 蠕虫病毒服务启动后,会利用MS17-010漏洞进行传播。传播分为两种渠道,一种是局域网传播,另一种是公网传播;
· 病毒会根据用户计算机内网IP,生成覆盖整个局域网网段表,然后循环依次尝试攻击。然后使用漏洞,注入到被攻击计算机中,释放资源到被攻击计算机“C:Windows\mssecsvc.exe”,并执行;
· 被攻击的计算机包含病毒的完整功能,除了会被勒索,还会继续使用MS17-010漏洞进行传播。
· 传播速度快,是该病毒短时间内大规模爆发的主要原因。
WannaCry勒索病毒特性分析:
该程序会释放以下一组相关文件:
· taskdl.exe:删除临时目录下的所有“*.WNCRYT”扩展名的临时文件
· taskse.exe:以任意session运行指定程序
· u.wnry:解密程序,释放后名为@WanaDecryptor@.exe
· b.wnry:勒索图片资源
· s.wnry:包含洋葱路由器组件的压缩包(病毒作者将勒索服务器搭建在”暗网”,需要通过tor.exe和服务器进行通信)
· c.wnry:洋葱路由器地址信息
· t.wnry:解密后得到加密文件主要逻辑代码
· r.wnry:勒索Q&A
二、 AI人工智能对WannaCry恶意软件的分析
目前业界已经达成共识,基于简单的签名并不能可靠地侦测恶意软件。现代安全防护产品转而大量依赖静态和动态分析技术,并在此基础上提取特征,用预测性模型去判定一个文件是否为恶意。
到目前为止,蓝盾已经有效并成功构建了基于静态和动态分析的人工智能引擎,并把其运用于蓝盾的安全产品线(最新版本第二代防火墙 )中,并推出全面人工智能的第三代防火墙。
简单来说,动态分析会观察一个程序的运行而静态分析会在不运行此程序状态下检查文件。采用动态分析技术探测WannaCry等勒索病毒涉及大量对操作系统的检测,监控程序的运行并在出现异常行为时阻止他们。静态分析,从另一个侧面来看,只是观察文件本身和尝试从文件的结构和数据中提取有用的特征信息。
由于WannaCry具有Windows平台依赖性,运行此类文件总需要首先被操作系统解析,故加密整个可运行文件的结构在原理上行不通。这种基于Windows PE的文件结构相对容易被解析,并且包含程序创建和他是如何工作的有效信息。当我们仔细分析WannaCry的PE文件结构时,我们能较为容易地判断:
· 程序是如何编译的
· 使用了哪些编译器
· 调用了哪些API和DLL库
在发生WannaCry事件的第一时间,蓝盾的AI引擎就从勒索病毒家族的特性, 提取了有针对性的上百个静态和动态特征,并跟踪对WannaCry的各个变种样本进行测试。至今,蓝盾信息安全实验室获取WannaCry勒索病毒及其变种约70种, 引擎能100%识别所有的变种,并判断出这70种样本所属类型为勒索蠕虫。
目前,引擎可从被检测PE文件中快速提取静态和动态特征10万种。这些特征之所以有效,关键在于能分辨恶意软件与非恶意软件在静态文件与动态行为层面上的异同,如:
· 文件相关行为
· 进程相关行为
· 内存相关行为
· 寄存器相关行为
· 网络相关行为
· Windows服务行为
采用静态侦测的好处在于能在文件被执行前就进行分析。这比恶意软件在运行后再移除恶意软件要简单和有用得多。成功的防御总比事后治疗要好得多。另外,我们还发现,有部分WannaCry病毒变种存在文件损坏,部分功能缺失等情况(如只包含勒索特性但蠕虫特性失效的变种)。在此情况下,我们依然可以选用静态分析引擎对此文件进行分析。动态分析引擎在此并不适用,由于文件本身已经损坏,他们并不会产生任何行为。
采用动态侦测的主要好处在于能较好地侦测全新种类(即和训练集数据样本有显著差异)的威胁。一个主要原因在于单纯改变可执行文件的结构是简单的,而改变其运行时的行为却很难。拿 WannaCry 作例子,我们首先通过沙箱去分析WannaCry的动态行为,如程序打开的文件数目,调用加密函数次数的多少,读/写文件操作和是否删除现存文件等,这些行为的捕捉均有助于我们预测此恶意软件的种类为勒索病毒。而我们在设计与提取动态特征的过程中,正是首先通过沙箱技术分析其有用动态特征,并把这批动态特征加入到我们的动态侦测引擎中。
同步收集全网僵木蠕毒作为样本数据集是长期工程。因为当样本数目增长时,我们的训练时间也会增长。很多文件均具有相似性,当数据集持续增长时,机器结合人工的特征选择方法就变得异常重要(我们目前使用常规的PCA进行降维并加上领域专家的建议)。聚类算法这里或可以派上用场,在降低训练集数量的同时保持样本的多样性,这正是我们维持模型精确性的关键所在。
作为总结,我们简单归纳出静态分析引擎的优点:
· 可在代码运行前进行检测
· 对于拥有死亡C&C主机的样本有效
· 对于已损毁的执行文件有效
· 无需大量计算能力的支持
动态分析引擎的优点如下:
· 能准确确定程序的行为
· 能准确检测出文件,内存,寄存器和硬盘发生的操作
· 对新型威胁的检测更为有效
我们主要使用的机器学习算法为随机森林,现阶段用于模型训练的样本已达千万级,通过调节模型参数如树的数目、最大深度及分支最小样本数等,使模型有效适配防火墙,终端防护软件等应用场景。
图1:随机森林算法示意图
图2: 随机森林模型生成
蓝盾基于人工智能的静 & 动态恶意软件侦测引擎已经不再依赖特征对威胁进行匹配和判断,而是100%基于机器学习模型,能有效检测出木马变种和未知威胁攻击、0 day攻击等。
我们相信,动态与行为分析是未来发展的方向,此引擎相比于静态和基于文件的检测引擎,能更好地检测并发现新颖和未知的威胁。
最后,我们还计划在不久的将来推出专为预测勒索病毒,木马软件等而优化的恶意软件侦测引擎,和静 & 动态引擎组合成为级联引擎,为客户提供更精准和更具预测力的恶意软件预测服务。
(新闻稿 2017-05-19)
