安全路透社
当前位置:安全路透社 > 网络转载 > 正文

【推广】WannaCry分析报告

2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,仅仅几个小时内,该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招,且攻击仍在蔓延。

据报道,勒索攻击导致16家英国医院业务瘫痪,西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织,11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。国内也有大量教学系统瘫痪,包括校园一卡通系统。

瑞星的研究人员对勒索软件进行详细的分析,并且给出多种解决方案,包括“永恒之蓝”病毒免疫工具。

一、背景介绍

WannaCry勒索病毒 通过windows操作系统漏洞EternalBlue永恒之蓝 发起攻击。3月14 微软已经发布补丁,由于很多受害者没有及时安装补丁,导致被病毒攻击,计算机中的文件被加密。

二、详细分析

病毒分为漏洞利用模块,加密器,解密器 

攻击逻辑如下:

攻击者发起攻击,被攻击机器由于存在漏洞,导致自身中毒。中毒之后漏洞利用模块启动,

漏洞利用模块运行之后,释放加密器和解密器,启动攻击线程,随机生成ip地址,攻击全球。

加密器启动之后,加密指定类型的文件。文件全部加密之后,启动解密器

解密器启动之后,设置桌面背景显示勒索信息,弹出窗口 显示付款账号和勒索信。威胁用户指定时间内不付款文件无法恢复。

漏洞利用模块分析

1、启动之后判断命令行参数,是否已经释放文件。如果没有释放文件则释放文件,启动释放的加密器,把自身设置为服务。

12.png

图-创建服务

病毒主程序 伪装为微软安全中心

13.png

图-伪装为服务

从资源中解密文件

14.png

图-从资源中释放出加密器

拼凑路径

15.png

图-拼凑加密器释放的路径

释放加密器

16.png

图-释放加密器

启动加密器

17.png

图-启动加密器程序

2、如果服务创建成功,则启动服务进入服务函数,创建线程 执行相应功能

18.png

图-随机生成攻击IP

19.png

图-利用漏洞攻击生成的ip

攻击线程中构造exploit 发送漏洞利用程序数据包

复制shellcode

20.png

图-构造漏洞利用数据包

发送数据包 利用漏洞攻击攻击生成的ip

21.png

图-收发数据包

22.png

图-发送漏洞利用数据包

随机生成IP 攻击全球主机

23.png

图-被攻击ip

加密器分析

加密器启动之后复制自身到C:\ProgramData\dhoodadzaskflip373(不同的系统会复制到不同的目录)目录下

24.png

图-复制自身并启动

创建服务 使用cmd命令启动自身 防止被结束进程 

创建服务

25.png

图-创建服务 防止被结束

各参数信息

26.png

图-服务信息

创建互斥体 防止运行多个实例

MsWinZonesCacheCounterMutexA

创建注册表键值

27.png

图-创建注册表键值

从资源中解密出相关文件

包括提权模块taskse.exe 、 清空回收站模块taskdl.exe、解密器程序@WanaDecryptor@

还有一些 语言资源文件和 配置文件

28.png

图-加密器释放的文件

然后随机从三个比特币钱包中选取一个 作为勒索显示信息

lou1.png

图-比特币钱包地址

把释放的文件夹 所有文件 设置为隐藏属性

lou2.png

图-释放的文件设置为隐藏

遍历查找文件

31.png

图-遍历文件

判断是否是不感染的路径

32.png

图-判断路径

判断是否是要加密的文件类型

agnranernjainleixin.png

图-判断文件类型

读取文件并加密

34.png

图-读取文件

删除原来的文件 只保留加密后的文件

35.png

图-删除原文件

病毒会加密指定类型的文件 

以下是病毒加密的文件类型

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

图-加密的文件类型

加密后的文件添加后缀 .WNCRYT

40.png

图-被加密的文件后缀

加密完成之后运行解密器 弹出勒索窗口

解密器分析

解密器运行之后会删除windows自动备份 无法还原被加密的文件

41.png

图-删除备份

修改桌面背景 显示勒索信息

42.png

图-勒索信息

弹出勒索窗口,显示比特币钱包地址和付款金额 

43.png

图-勒索弹窗

解决方案:

1、打补丁

由于此次勒索病毒大范围传播是由于很多机器没有打补丁,被攻击之后导致中毒。

没有中毒的机器,尽快打补丁可以避免中毒。

更新微软MS17-010漏洞补丁,对应不同系统的补丁号对照表:

50.png

未经允许不得转载:安全路透社 » 【推广】WannaCry分析报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册