勒索病毒WannaCry的自动发现原理

刘嘉奇、刘纬、唐锡南


摘要

        通过全流量的网络协议分析捕捉TCP层的流量异常,再通过大数据分析精确判断出勒索病毒的根源,最后用人工智能技术自动检测勒索病毒。


        一、事件综述


        2017年5月WannaCry勒索病毒肆虐全球,利用“永恒之蓝”传播,使得众多的学校、企业、政府机构的内网沦陷[1]。专家估计在全球造成损失总值约 80 亿美元[2]。


        近日,在某客户的内网环境中,利用南京云利来开发的智能大数据分析平台iMAP(intelligent Metadata Analytic Platform)发现了一个潜伏的WannaCry勒索病毒。 幸亏及时地发现,排除了大规模爆发的危险。



        二、问题分析


        1、发现异常


        在对客户的业务指标例行检查时,发现TCP重传率异常的高,长时间维持在60%以上的高位。通常来讲,TCP重传率如果这么高,网络已经无法正常使用。



图 1、TCP重传率维持在60%以上

        在iMAP平台上可以做时间的横向比较,与前一段时间的TCP连接个数对比:发现TCP连接数上涨了5倍。



图 2、两段时间的TCP连接数对比

        iMAP收集的元数据是由iTAP(intelligent TAP)提供的。iTAP的网络协议元数据分析是针对每一条流的,可以捕捉TCP的任何异常状态(图3右侧列出的多种TCP状态)。 分析发现其中270多万次TCP连接是以第一次握手超时结束。



图 3、大量TCP连接以第一次握手超时结束

        由此判断,造成TCP连接重传率过高的原因并不是网络故障,而是大量的以第一次握手超时结束的异常TCP连接。此时猜测,是内部存在的机器在进行类似DOS的攻击。


        2、深入调查


        此时利用iMAP平台自带的分析工具,深入调查发现,在270多万异常链接中, IP地址为172.31.0.20的一台内网机器发起249万多条TCP连接,其平均重传率高达66.62%。具体分析步骤如下:


        a)对sip(源IP地址)进行分类聚合;


        b)计算每个IP的平均重传率以及TCP连接个数;


        c)根据TCP连接个数进行排序。



图 4、聚合结果

        针对IP为172.31.0.20的内网主机,再深入分析,发现其240万次以上的TCP连接是以第一次握手超时结束。该主机的各种数据与发现的异常基本抿合,此时可以确认该主机正是引起此次异常的源头。具体操作如下:


        a)使用过滤条件,筛选出172.31.0.20主机的TCP记录;


        b)根据TCP结束状态进行分类聚合;


        c)计算每种结束状态的连接数。



图 5、172.31.0.20的TCP连接结束状态聚合结果

        再进行下钻分析:针对172.31.0.20,聚合域为dport(目标端口号),可以发现:240万次以上的TCP连接的目标端口号为445。



图 6、172.31.0.20的TCP连接目标端口聚合结果

        445端口是一个很敏感的端口,主要被Windows用于局域网文件共享、打印机共享,同时亦常被恶意软件用作局域网病毒传播。当产生大量目标端口445的TCP连接,很有可能该主机是被利用来使用“永恒之蓝”攻击程序对随机目标进行攻击。


        3、验证猜测


        最大规模利用“永恒之蓝”进行传播的病毒正是WannaCry,而“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”是该病毒的开关域名。当该域名能访问时,则不开始勒索行为[1]。


        查找历史记录,发现172.31.0.20该主机确实成功通过http访问过WannaCry的开关域名(状态码status为200)。



图 7、172.31.0.20成功访问WannaCry开关域名

        至此,已经可以完全确定该主机是感染了WannaCry病毒。但由于开关域名能被成功访问,所以病毒并没有执行文件加密、勒索等操作,但一直进行病毒传播行为。[1]


        随后,在客户网络运维团队协助下,登入该主机,发现了产生大量445端口的TCP连接的进程为名叫mssecsvc2.0的服务项,用于网络传播。同时发现C:\\Windows目录下有mssecsvc.exe与tasksche.exe两个可执行文件,分别为WannaCry的主程序与勒索程序。[3]


        三、总结


        根据以上分析, 我们可以生成一条WannaCry规则刻画勒索病毒的行为,从而形成对此类病毒的自动检测。我们提供了基于SQL文法的规则开发环境,方便规则库的开发和维护[4]。


        南京云利来(www.ido-net.net)的iTAP数据分析产品通过对网络长期不间断的全流量分析,是国内唯一的可以在万兆(20G+)压力下实时地捕捉每一个网络请求和响应同时分析出网络和应用层元数据的网络时光记录仪。 分析出的元数据被保存在大数据平台iMAP上然后进行有效地高级分析。在这种基于大数据的SIEM平台上可快速地做网络异常的详细诊断,分析故障的根源。同时结合人工智能技术做到专家级的精确预警,防患于未然。


        iTAP+iMAP提供了一个实时地全方位的网络安全保护机制。这种基于并行处理、大数据分析和AI自学习技术的SIEM平台可以为网络安全法的实施提供技术保障,积极地为网络监控和自动运维保驾护航。 他们的积极部署将成为网络防御体系中不可缺少的重要一环。




参考文献:
【1】唐锡南,"勒索病毒“永恒之蓝”的防御策略",http://ido-net.net/id14_en.html,2017.05
【2】动点科技,"WannaCry勒索病毒或致80亿美元损失", http://www.sohu.com/a/140929261_485557,2017.05
【3】安天安全研究与应急处理中心(Antiy CERT), “安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告”,http://www.antiy.com/response/wannacry.html,2017.05
【4】张立丹,“基于ES的SQL报警引擎”,http://ido-net.net/id17_en.html, 2017.11








© 2013-2019 IDO-NET All rights reserved.