Как искать WannaCry?

Почему WannaCry? Сильно нашумел. Информации о нем достаточно. Все последователи похожи на него. А методы обнаружения схожи…

Антивирус:

  • Имя вируса содержит wanna
  • Имя вируса содержит mimikatz

Межсетевой экран:

  • Обращение к серверам WannaCry
  • Рост количества запросов по 445 порту
  • Массовое обращение к различным адресам по 445 порту
  • Обращение к узлам TOR

IDS/IPS

  • Имя сработавшего правила содержат «SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection»
  • Имя сработавшего правила содержит WannaCry
  • Имя сработавшего правила содержит MS17-010 или ETERNALBLUE
  • Рост количества запросов по 445 порту
  • Массовое обращение к различным адресам по 445 порту
  • Запрос DNS имени WannaCry kill switch
  • Обращение к узлам TOR

Контроль файловых операций

  • Массовое изменение файлов .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc
  • Создание файлов с расширением .WCRY

Рабочие станции

  • Попытка авторизации под учетной записью администратора
  • Массовая авторизация под одной учетной записью (сессией)
  • Массовый запуск PSEXEC.EXE
  • Массовое изменение файлов
  • Создание файлов с расширением .WCRY

DNS сервера

  • Запрос DNS имени WannaCry kill switch

Песочница

  • Срабатывание соответствующих YARA
  • Обращение к серверам WannaCry
  • Рост количества запросов по 445 порту
  • Массовое обращение к различным адресам по 445 порту
  • Обращение к узлам TOR
  • Срабатывание YARA сигнатур Crypto

Прочее

  • Обнаружение контрольных сумм MD5/SHA1/SHA256

А теперь сделайте это вручную?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *