WannaCry

EXPERTISES TI – SÉCURITÉ
CENTRE D’INFORMATION WANNACRY

Survol du vers WannaCry

Complete End-to-End Services TI

Premièrement, voici un survol du vers WannaCry pour vous familiariser avec l’arrière-plan de ce rançongiciel.

Worm (i.e. mssecsvc.exe)
Le vers est le premier attaquant et est responsable du comportement du vers du rançongiciel. Il pèse 3.6mb et contient l’URL « killswitch » ainsi que l’exploitant SMB pour MS17-10. Il comprend le second niveau d’attaquant sécurisé comme étant une ressource nommée R. Puisque l’attaquant est sécurisé et non autrement compressé ou obscurci, la détection linéaire pour ses attaquants détectera toujours le vers à moins que d’autres conditions soient ajoutées à ces règles.

La propagation fonctionne en générant des adresses IP de façon aléatoire et essai de se connecter et ensuite exploiter le système hors site. Nous irons dans plus de détails plus loin sur comment les exploitants de charge utile sont créés, mais le point important à savoir est que la charge utile est générée en mémoire et livrée à travers le réseau vers la mémoire processeur exploitée. Une fois que le code d’exécution est envoyé dans la charge utile, son seul but est de déposer une copie du vers au disque et l’exécuter.

La plupart des distributeurs d’antivirus, incluant Cylance, auront une opportunité de prévenir WannaCry. À moins, évidemment, que le fournisseur hameçonne des fonctions dans les processus noyaux, ce qui serait une proposition risquée et pourrait même augmenter la surface d’attaque.

Témoignages

Need more information?

Complete the form and one of our specialists will contact you as soon as possible.

Demander Un Devis