组织应确保运行Windows操作系统的设备均安装了全部补丁,并在部署时遵循了最佳实践。此外,组织还应确保关闭所有外部可访问的主机上的SMB端口(139和445)。
请注意,针对这一威胁我们当前还处于调查阶段,随着我们获知更多信息,或者攻击者根据我们的行动作出响应,实际情况将可能发生变化。Talos将继续积极监控和分析这一情况,以发现新的进展并相应采取行动。因此,我们可能会制定出新的规避办法,或在稍后调整和/或修改现有的规避办法。有关最新信息,请参阅您的Firepower Management Center或Snort.org。
攻击详细信息
我们注意到从东部标准时间早上5点(世界标准时间上午9点)前开始,网络中针对联网主机的扫描开始急速攀升。
基础设施分析
Cisco Umbrella研究人员在UTC时间07:24,观察到来自WannaCry的killswitch域名(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com)的第一个请求,此后在短短10小时后,就上升到1,400的峰值水平。
该域名组成看起来就像是人为输入而成,大多数字符均位于键盘的上排和中间排。
鉴于此域名在整个恶意软件执行中的角色,与其进行的通信可能被归类为kill switch域名:
以上子程序会尝试对此域名执行HTTP GET操作,如果失败,它会继续进行感染操作。然而,如果成功,该子程序将会结束。该域名被注册到一个已知的sinkhole,能够有效使这一样本结束其恶意活动。
