WannaCry DNS能力

Question

我正在检查沙箱和清除开关链接上的信息，但是WannaCry不执行DNS查询。它怎么叫出来的？

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea..。com

Answer 1

我想我最好先回答这个问题。然后，我再详细阐述一下。问:它是怎么叫出来的？答:它呼吁使用DNS -正如你所怀疑的。WannaCry ransomware实际上在其生命周期内执行多个dns请求。在其代码的WinMAIN函数中，它尝试使用iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.的url连接到网站。DNS请求的原因被怀疑是作者在沙箱测试环境中使用的“杀手锏”，也可能是指向CCS(命令和控制服务器)的链接。

另一个DNS请求(S)是为了访问ToR网络(又名黑暗网)，这样它就可以匿名下载加密程序，也可以访问比特币钱包支付300美元的费用。

引用来源: WANNACRY代码分析- https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

WANNACRY攻击分析- https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/