资讯频道 非技术
阅读更多

2顶
1踩

非技术

转载新闻 WanaCrypt0r勒索蠕虫完全分析报告

2017-05-15 10:33 by 副主编 jihong10102006 评论(0) 有3879人浏览
蠕虫病毒

一、前言

360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12日国内率先发布紧急预警,外媒和多家安全公司将该病毒命名为“WanaCrypt0r”(直译:“想哭勒索蠕虫”),常规的勒索病毒是一种趋利明显的恶意程序,它会使用加密算法加密受害者电脑内的重要文件,向受害者勒索赎金,除非受害者交出勒索赎金,否则加密文件无法被恢复,而新的“想哭勒索蠕虫”尤其致命,它利用了窃取自美国国家安全局的黑客工具EternalBlue(直译:“永恒之蓝”)实现了全球范围内的快速传播,在短时间内造成了巨大损失。360追日团队对“想哭勒索蠕虫”国内首家进行了完全的技术分析,帮助大家深入了解此次攻击!

二、抽样分析样本信息

MD5: DB349B97C37D22F5EA1D1841E3C89EB4

文件大小: 3,723,264

影响面:除Windows 10外,所有未打MS-17-010补丁的Windows系统都可能被攻击

功能:释放加密程序,使用RSA+AES加密算法对电脑文件进行加密勒索,通过MS17-010漏洞实现自身的快速感染和扩散。

三、蠕虫的攻击流程

该蠕虫病毒使用了ms17-010漏洞进行了传播,一旦某台电脑中招,相邻的存在漏洞的网络主机都会被其主动攻击,整个网络都可能被感染该蠕虫病毒,受害感染主机数量最终将呈几何级的增长。其完整攻击流程如下

四、蠕虫启动逻辑分析

1.蠕虫启动时将连接固定url: http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

a)如果连接成功,则退出程序

b)连接失败则继续攻击

2.接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程.

a)安装流程

i.创建服务,服务名称: mssecsvc2.0

参数为当前程序路径 –m security

ii.释放并启动exe程序

移动当前 C:\WINDOWS\tasksche.exe到 C:\WINDOWS\qeriuwjhrf

释放自身的1831资源(MD5: 84C82835A5D21BBCF75A61706D8AB549),到C:\WINDOWS\tasksche.exe,并以 /i参数启动

b)服务流程

i.服务函数中执行感染功能,执行完毕后等待24小时退出.

ii.感染功能

初始化网络和加密库,初始化payload dll内存.

a)Payload包含2个版本,x86和x64

b)功能为释放资源到c:\windows\mssecsvc.exe并执行

启动线程,在循环中向局域网的随机ip发送SMB漏洞利用代码


五、蠕虫利用漏洞确认

通过对其中的发送的SMB包进行分析,我们发现其使用漏洞攻击代码和https://github.com/rapid7/metasploit-framework 近乎一致,为Eternalblue工具使用的攻击包。

蠕虫 SMB数据包:

Eternalblue工具使用的MS17-010 SMB数据包:

https://github.com/RiskSense-Ops/MS17-010/tree/master/exploits/eternalblue/orig_shellcode

文件内容在DB349B97C37D22F5EA1D1841E3C89EB4中出现

orig_shellcode文件内容:

DB349B97C37D22F5EA1D1841E3C89EB4 文件:

六、蠕虫释放文件分析

蠕虫成功启动后将开始释放文件,流程如下:

释放文件与功能列表,如下:

七、关键勒索加密过程分析

蠕虫会释放一个加密模块到内存,直接在内存加载该DLL。DLL导出一个函数TaskStart用于启动整个加密的流程。程序动态获取了文件系统和加密相关的API函数,以此来躲避静态查杀。

整个加密过程采用RSA+AES的方式完成,其中RSA加密过程使用了微软的CryptAPI,AES代码静态编译到dll。加密流程如下图所示。

使用的密钥概述:

目前加密的文件后缀名列表:

值得注意的是,在加密过程中,程序会随机选取一部分文件使用内置的RSA公钥来进行加密,这里的目的是解密程序提供的免费解密部分文件功能。

能免费解密的文件路径在文件f.wnry中

八、蠕虫赎金解密过程分析

首先,解密程序通过释放的taskhsvc.exe向服务器查询付款信息,若用户已经支付过,则将eky文件发送给作者,作者解密后获得dky文件,这就是解密之后的Key

解密流程与加密流程相反,解密程序将从服务器获取的dky文件中导入Key


可以看到,当不存在dky文件名的时候,使用的是内置的Key,此时是用来解密免费解密的文件使用的。


之后解密程序从文件头读取加密的数据,使用导入的Key调用函数CryptDecrypt解密,解密出的数据作为AES的Key再次解密得到原文件。

总结

该蠕虫在勒索类病毒中全球首例使用了远程高危漏洞进行自我传播复制,危害不小于冲击波和震荡波蠕虫,并且该敲诈者在文件加密方面的编程较为规范,流程符合密码学标准,因此在作者不公开私钥的情况下,很难通过其他手段对勒索文件进行解密,同时微软已对停止安全更新的xp和2003操作系统紧急发布了漏洞补丁,请大家通过更新MS17-010漏洞补丁来及时防御蠕虫攻击。
  • 大小: 219.7 KB
  • 大小: 49.6 KB
  • 大小: 17.8 KB
  • 大小: 27.8 KB
  • 大小: 29.8 KB
  • 大小: 142.4 KB
  • 大小: 46.9 KB
  • 大小: 16.9 KB
  • 大小: 81.3 KB
  • 大小: 84.3 KB
  • 大小: 19.8 KB
  • 大小: 124.5 KB
  • 大小: 81.8 KB
  • 大小: 60.1 KB
  • 大小: 17.1 KB
  • 大小: 10.3 KB
  • 大小: 33.2 KB
  • 大小: 47.8 KB
  • 大小: 7 KB
  • 大小: 21.2 KB
  • 大小: 35.1 KB
  • 大小: 14.2 KB
  • 大小: 21.1 KB
来自: 安全客
2
1
评论 共 0 条 请登录后发表评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • [系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向

    这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇...

  • 权威报告】WanaCrypt0r勒索蠕虫完全分析报告

    360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12日国内率先发布紧急预警,外媒和多家安全公司将该病毒命名为“WanaCrypt0r”(直译:“想哭勒索蠕虫”),...

  • 转载自360:【权威报告】WanaCrypt0r勒索蠕虫完全分析报告

    转载自360:【权威报告】WanaCrypt0r勒索蠕虫完全分析报告 日期:2017-5-13 0x1 前言 360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12...

  • 权威报告 | WanaCrypt0r想哭勒索蠕虫数据恢复可行性分析报告

    第一章 前言 ...近日,360互联网安全中心发现...该款勒索软件在短时间内在全球范围内爆发了广泛的攻击活动,据不完全统计,它在爆发后的几个小时内就迅速攻击了99个国家的近万台设备,并在大量企业组织和个人间蔓

  • [网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读

    这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章...

  • [系统安全] 二十八.WannaCry勒索病毒分析 (4)全网“最“详细的蠕虫传播机制解读

    前文分享了WannaCry勒索病毒逆向分析,主要通过IDA和OD逆向分析蠕虫传播部分。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个...

  • WannaCry勒索病毒复现及分析,蠕虫传播机制全网源码详细解读 | 原力计划

    作者 | 杨秀璋编辑| 夕颜题图 | 东方 IC出品 | CSDN(ID:CSDNnews)这篇文章将详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCr...

  • WannaCryptor 勒索蠕虫样本深度技术分析

    注:以下文章转自Anti Wann ...WanaCrypotor在几周之前就被发现了,但是这款恶意勒索软件传播速度没那么严重,是什么造成了传播如此之快? ETERNALBLUE ,永恒之蓝,这个是影子经纪人泄露的NSA攻击工具,攻击wind

  • 逆向分析-IDA动态调试WanaCrypt0r的wcry.exe程序

    2017年5月12日全球爆发大规模蠕虫勒索软件WanaCrypt0r感染事件,各大厂商对该软件做了深入分析,但针对初学者的分析教程还比较少,复现过程需要解决的问题有很多,而且没有文章具体介绍勒索软件的实际运行流程,所以...

  • 逆向分析——使用IDA动态调试WanaCrypt0r中的tasksche.exe

    2017年5月12日全球爆发大规模蠕虫勒索软件WanaCrypt0r感染事件,各大厂商对该软件做了深入分析,但针对初学者的分析教程还比较少,复现过程需要解决的问题有很多,而且没有文章具体介绍勒索软件的实际运行流程,所以...

  • Wannacry勒索病毒样本分析

    WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐...

  • WannaCry 勒索病毒复现及分析,蠕虫传播机制全网源码详细解读 | 原力计划

    作者 | 杨秀璋,责编 | 夕颜来源 | CSDN博客头图 | CSDN 下载自东方 IC出品 | CSDN(ID:CSDNnews)这篇文章将详细讲解WannaCry蠕虫的传播机制,带...

  • 勒索蠕虫病毒文件如何恢复?

    勒索蠕虫病毒文件如何恢复?...完全防范WannaCry (WanaCrypt0r) 勒索病毒处理步骤 360公司紧急退出的恢复工具可能会有帮助,中毒的小伙伴可以试一下 http://down.360safe.com/setup_jiuzai.exe ...

  • 全球性WannaCry蠕虫勒索病毒感染前后应对措施

    前言:针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是...

  • 转:使用IDA动态调试WanaCrypt0r中的tasksche.exe

    逆向分析——使用IDA动态调试WanaCrypt0r中的tasksche.exe 转:http://www.4hou.com/technology/4832.html 2017年5月19日发布 导语:本文将具体介绍想哭“WanaCrypt0r”勒索软件的实际运行流程,讲述复现过程...

  • WannaCrypt0r分析报告

    病毒分析报告 样本名 WannaCrypt0r 版本 原版 时间 2018-05-08 平台 Windows 7-32位 目录 1.样本概况... 3 1.1 样本信息... 3 1.2 ...

  • 针对敲诈病毒(WanaCrypt0r2.0)的应对方案

    病毒背景5月12日起,Onion、WNCRY两类敲诈...0day漏洞利用,通过445端口(文件共享)在内网进行蠕虫式感染传播。微软在今年3月10日已发布补丁MS17-010修复了"永恒之蓝"***的系统漏洞,请尽快安装此安全补丁...

  • 第一次的感觉

    没想到我也有了自己的blog! 学计算机的应该对新技术充满好感,但对于blog我一直视为一种时髦的玩具,也看过一些blog,总觉得像小孩的涂鸦。我觉得blog缺乏管理,wiki好一点,对此没什么研究,感觉好像是定义了一套xml标签,然后在此基础上的应用,一直没见过那个传说中的xbrl是怎么用的。有机会一定研究一下xml!!! 曾经见过一个说法,说blog是一种生活方式。也许我应该尝试改变吧,今天她

  • 希望明天会好起来

     由于自己的不努力,我失去了一些机会,所以我更珍惜现在的每一天。昨天和一家给finance那边作应用的软件供应商的接触,使我更加庆幸没有脑子一热就随便找个软件公司干。昨天来的那几个哥们的素质,实在令我汗颜,算是见识了一次目前中小软件公司的水平。在事先没联系的情况下4点钟找到这边说要在server上装东西。来的那仨哥们一看就是只会coding,来了要做什么,分哪几个步骤,对现有的server有什么影

Global site tag (gtag.js) - Google Analytics