编注:本文来源自《中国计算机学会通讯》2017年第7期《WannaCry勒索蠕虫专刊》,作者是360网络安全研究院李丰沛。在本博客发布时,文章的字句和排版略有调整,以适应本技术博客。我们将该文章发布在本技术博客的动机之一,是因为这篇文章中对WannaCry的感染情况做了一个定量分析,本技术博客的后续其他分析文章可以参考做一个基准。
域名系统(Domain Name System, DNS)数据作为全网流量数据的一种采样方式,可以在大网尺度对域名做有效的度量和分析。我们利用DNS数据,在过去数年里对多个安全事件,包括Mirai等僵尸网络、DGA等恶意域名,以及黑色产业链条进行跟踪和分析。对于最近爆发的WannaCry蠕虫病毒,利用DNS数据进行分析,也是很有意义的。
众所周知,WannaCry蠕虫病毒有一个开关域名,即www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,该域名相关详细内容见《WannaCry勒索蠕虫专刊》其他文章。在蠕虫感染过程中,有效载荷通过445端口上的 MS17-010漏洞投递并成功启动后,会尝试访问特定域名的