Почему WannaCry? Сильно нашумел. Информации о нем достаточно. Все последователи похожи на него. А методы обнаружения схожи…
Антивирус:
- Имя вируса содержит wanna
- Имя вируса содержит mimikatz
Межсетевой экран:
- Обращение к серверам WannaCry
- Рост количества запросов по 445 порту
- Массовое обращение к различным адресам по 445 порту
- Обращение к узлам TOR
IDS/IPS
- Имя сработавшего правила содержат «SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection»
- Имя сработавшего правила содержит WannaCry
- Имя сработавшего правила содержит MS17-010 или ETERNALBLUE
- Рост количества запросов по 445 порту
- Массовое обращение к различным адресам по 445 порту
- Запрос DNS имени WannaCry kill switch
- Обращение к узлам TOR
Контроль файловых операций
- Массовое изменение файлов .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc
- Создание файлов с расширением .WCRY
Рабочие станции
- Попытка авторизации под учетной записью администратора
- Массовая авторизация под одной учетной записью (сессией)
- Массовый запуск PSEXEC.EXE
- Массовое изменение файлов
- Создание файлов с расширением .WCRY
DNS сервера
- Запрос DNS имени WannaCry kill switch
Песочница
- Срабатывание соответствующих YARA
- Обращение к серверам WannaCry
- Рост количества запросов по 445 порту
- Массовое обращение к различным адресам по 445 порту
- Обращение к узлам TOR
- Срабатывание YARA сигнатур Crypto
Прочее
- Обнаружение контрольных сумм MD5/SHA1/SHA256