分享互联网,一切皆有可能
http://www.weiyx.org

WannaCry分析报告

2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,仅仅几个小时内,该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招,且攻击仍在蔓延。

据报道,勒索攻击导致16家英国医院业务瘫痪,西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织,11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。国内也有大量教学系统瘫痪,包括校园一卡通系统。

瑞星的研究人员对勒索软件进行详细的分析,并且给出多种解决方案,包括“永恒之蓝”病毒免疫工具。

一、背景介绍

WannaCry勒索病毒 通过windows操作系统漏洞EternalBlue永恒之蓝 发起攻击。3月14 微软已经发布补丁,由于很多受害者没有及时安装补丁,导致被病毒攻击,计算机中的文件被加密。

二、详细分析

病毒分为漏洞利用模块,加密器,解密器

攻击逻辑如下:

攻击者发起攻击,被攻击机器由于存在漏洞,导致自身中毒。中毒之后漏洞利用模块启动,

漏洞利用模块运行之后,释放加密器和解密器,启动攻击线程,随机生成ip地址,攻击全球。

加密器启动之后,加密指定类型的文件。文件全部加密之后,启动解密器

解密器启动之后,设置桌面背景显示勒索信息,弹出窗口 显示付款账号和勒索信。威胁用户指定时间内不付款文件无法恢复。

漏洞利用模块分析

1、启动之后判断命令行参数,是否已经释放文件。如果没有释放文件则释放文件,启动释放的加密器,把自身设置为服务。

12.png

图-创建服务

病毒主程序 伪装为微软安全中心

13.png

图-伪装为服务

从资源中解密文件

14.png

图-从资源中释放出加密器

拼凑路径

15.png

图-拼凑加密器释放的路径

释放加密器

16.png

图-释放加密器

启动加密器

17.png

图-启动加密器程序

2、如果服务创建成功,则启动服务进入服务函数,创建线程 执行相应功能

18.png

图-随机生成攻击IP

19.png

图-利用漏洞攻击生成的ip

攻击线程中构造exploit 发送漏洞利用程序数据包

复制shellcode

20.png

图-构造漏洞利用数据包

发送数据包 利用漏洞攻击攻击生成的ip

21.png

图-收发数据包

22.png

图-发送漏洞利用数据包

随机生成IP 攻击全球主机

23.png

图-被攻击ip

加密器分析

加密器启动之后复制自身到C:\ProgramData\dhoodadzaskflip373(不同的系统会复制到不同的目录)目录下

24.png

图-复制自身并启动

创建服务 使用cmd命令启动自身 防止被结束进程

创建服务

25.png

图-创建服务 防止被结束

各参数信息

26.png

图-服务信息

创建互斥体 防止运行多个实例

MsWinZonesCacheCounterMutexA

创建注册表键值

27.png

图-创建注册表键值

从资源中解密出相关文件

包括提权模块taskse.exe 、 清空回收站模块taskdl.exe、解密器程序@WanaDecryptor@

还有一些 语言资源文件和 配置文件

28.png

图-加密器释放的文件

然后随机从三个比特币钱包中选取一个 作为勒索显示信息

lou1.png

图-比特币钱包地址

把释放的文件夹 所有文件 设置为隐藏属性

lou2.png

图-释放的文件设置为隐藏

遍历查找文件

31.png

图-遍历文件

判断是否是不感染的路径

32.png

图-判断路径

判断是否是要加密的文件类型

agnranernjainleixin.png

图-判断文件类型

读取文件并加密

34.png

图-读取文件

删除原来的文件 只保留加密后的文件

35.png

图-删除原文件

病毒会加密指定类型的文件

以下是病毒加密的文件类型

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

加密的文件类型

加密后的文件添加后缀 .WNCRYT

40.png

图-被加密的文件后缀

加密完成之后运行解密器 弹出勒索窗口

解密器分析

解密器运行之后会删除windows自动备份 无法还原被加密的文件

41.png

图-删除备份

修改桌面背景 显示勒索信息

42.png

图-勒索信息

弹出勒索窗口,显示比特币钱包地址和付款金额

43.png

图-勒索弹窗

解决方案:

1、打补丁

由于此次勒索病毒大范围传播是由于很多机器没有打补丁,被攻击之后导致中毒。

没有中毒的机器,尽快打补丁可以避免中毒。

更新微软MS17-010漏洞补丁,对应不同系统的补丁号对照表:

50.png

2、关闭端口

由于此漏洞需要利用445端口传播,关闭端口 漏洞就无法利用

关闭端口详细方法见附录

3、创建互斥体

由于加密器,启动之后会检测是否已经有加密器程序存在,防止互相之间干扰,所以会创建互斥体MsWinZonesCacheCounterMutexA。只要检测到互斥体存在就会关闭程序。安全软件可以利用这一点 让病毒运行之后自动退出,无法加密文件。

4、瑞星安全研究院为了使广大用户更方便、更高效的防御此病毒,率先发布了“永恒之蓝”病毒免疫工具,用户下载并运行此工具便可防御此病毒。

下载地址:

瑞星“永恒之蓝”免疫工具

http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

瑞星“永恒之蓝”免疫工具+杀软

http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe

44.png

以上多个步骤,用户可以根据实际情况选择合适的方式进行选择一个或多个,然后使用“一键搞定”即可,后台即会自动按照选择的免疫方式执行。

1. 安装瑞星安全云终端

瑞星全线产品最新版本都能查杀“永恒之蓝”病毒,考虑到有些用户没有安装杀毒软件或者使用了不能查杀该病毒的产品,能够快速安装安全云终端产品,方便对病毒进行查杀。

2. 关闭SMBv1

该病毒网络传播本身是利用了SMBv1协议的漏洞,所以通过关闭SMBv1协议已达到阻止病毒传播的途径效果,使用该方法,需要重启后方才生效。

3. 增加系统防火墙规则

有些用户环境不允许计算机重启,所以另一种方式就是开启系统防火墙并增加阻止病毒传播利用的端口,达到免疫目的。

4. 打系统补丁

病毒毕竟是利用了微软的漏洞,所以打补丁理论上是最好的方式,免疫工具里特别针对本次MS17-010漏洞进行扫描识别,并自动通过互联网去下载需要的补丁进行安装修复。

5、瑞星不同产品均已做出反馈并给出解决方案,包括安全终端解决方案、云安全解决方案以及网关安全解决方案,只要瑞星用户将产品更新到最新版本,均可抵御此勒索病毒

详细的解决方案参见这里:http://www.rising.com.cn/2017/eb/

未经允许不得转载:涛涛博客 » WannaCry分析报告

分享到:更多 ()