转载自360:【权威报告】WanaCrypt0r勒索蠕虫完全分析报告

日期:2017-5-13

0x1 前言



360互联网安全中心近日发现全球多个国家和地区的机构及个人电脑遭受到了一款新型勒索软件攻击,并于5月12日国内率先发布紧急预警,外媒和多家安全公司将该病毒命名为“WanaCrypt0r”(直译:“想哭勒索蠕虫”),常规的勒索病毒是一种趋利明显的恶意程序,它会使用加密算法加密受害者电脑内的重要文件,向受害者勒索赎金,除非受害者交出勒索赎金,否则加密文件无法被恢复,而新的“想哭勒索蠕虫”尤其致命,它利用了窃取自美国国家安全局的黑客工具EternalBlue(直译:“永恒之蓝”)实现了全球范围内的快速传播,在短时间内造成了巨大损失。360追日团队对“想哭勒索蠕虫”国内首家进行了完全的技术分析,帮助大家深入了解此次攻击!

0x2 抽样分析样本信息



MD5: DB349B97C37D22F5EA1D1841E3C89EB4

文件大小: 3,723,264

影响面:除Windows 10外,所有未打MS-17-010补丁的Windows系统都可能被攻击

功能:   释放加密程序,使用RSA+AES加密算法对电脑文件进行加密勒索,通过MS17-010漏洞实现自身的快速感染和扩散。

0x03 蠕虫的攻击流程



该蠕虫病毒使用了ms17-010漏洞进行了传播,一旦某台电脑中招,相邻的存在漏洞的网络主机都会被其主动攻击,整个网络都可能被感染该蠕虫病毒,受害感染主机数量最终将呈几何级的增长。其完整攻击流程如下

0x04 蠕虫启动逻辑分析



1.蠕虫启动时将连接固定url: http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

a)如果连接成功,则退出程序

b)连接失败则继续攻击

2.接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程.

a)安装流程

i.创建服务,服务名称: mssecsvc2.0

参数为当前程序路径 –m security

ii.释放并启动exe程序

移动当前 C:\WINDOWS\tasksche.exe到 C:\WINDOWS\qeriuwjhrf

释放自身的1831资源(MD5: 84C82835A5D21BBCF75A61706D8AB549),到C:\WINDOWS\tasksche.exe,并以 /i参数启动

b)服务流程

i.服务函数中执行感染功能,执行完毕后等待24小时退出.

ii.感染功能

初始化网络和加密库,初始化payload dll内存.

a)Payload包含2个版本,x86和x64

b)功能为释放资源到c:\windows\mssecsvc.exe并执行

启动线程,在循环中向局域网的随机ip发送SMB漏洞利用代码

0x05 蠕虫利用漏洞确认



通过对其中的发送的SMB包进行分析,我们发现其使用漏洞攻击代码和https://github.com/rapid7/metasploit-framework 近乎一致,为Eternalblue工具使用的攻击包。

蠕虫 SMB数据包:

Eternalblue工具使用的MS17-010 SMB数据包:

https://github.com/RiskSense-Ops/MS17-010/tree/master/exploits/eternalblue/orig_shellcode

文件内容在DB349B97C37D22F5EA1D1841E3C89EB4中出现

orig_shellcode文件内容:

DB349B97C37D22F5EA1D1841E3C89EB4 文件:

0x06 蠕虫释放文件分析



蠕虫成功启动后将开始释放文件,流程如下:

释放文件与功能列表,如下:

0x07 关键勒索加密过程分析



蠕虫会释放一个加密模块到内存,直接在内存加载该DLL。DLL导出一个函数TaskStart用于启动整个加密的流程。程序动态获取了文件系统和加密相关的API函数,以此来躲避静态查杀。

整个加密过程采用RSA+AES的方式完成,其中RSA加密过程使用了微软的CryptAPI,AES代码静态编译到dll。加密流程如下图所示。

使用的密钥概述:

目前加密的文件后缀名列表:

值得注意的是,在加密过程中,程序会随机选取一部分文件使用内置的RSA公钥来进行加密,这里的目的是解密程序提供的免费解密部分文件功能。

能免费解密的文件路径在文件f.wnry中

0x08 蠕虫赎金解密过程分析



首先,解密程序通过释放的taskhsvc.exe向服务器查询付款信息,若用户已经支付过,则将eky文件发送给作者,作者解密后获得dky文件,这就是解密之后的Key

解密流程与加密流程相反,解密程序将从服务器获取的dky文件中导入Key

可以看到,当不存在dky文件名的时候,使用的是内置的Key,此时是用来解密免费解密的文件使用的。

之后解密程序从文件头读取加密的数据,使用导入的Key调用函数CryptDecrypt解密,解密出的数据作为AES的Key再次解密得到原文件。

总结



该蠕虫在勒索类病毒中全球首例使用了远程高危漏洞进行自我传播复制,危害不小于冲击波和震荡波蠕虫,并且该敲诈者在文件加密方面的编程较为规范,流程符合密码学标准,因此在作者不公开私钥的情况下,很难通过其他手段对勒索文件进行解密,同时微软已对停止安全更新的xp和2003操作系统紧急发布了漏洞补丁,请大家通过更新MS17-010漏洞补丁来及时防御蠕虫攻击。

时间: 2024-10-01 06:37:09

转载自360:【权威报告】WanaCrypt0r勒索蠕虫完全分析报告的相关文章

四神分析报告生成系统 1.6.1发布

程序下载: 多特:http://www.duote.com/soft/144361.html 百度云下载:http://pan.baidu.com/s/1mh869Lm 软件介绍 该软件为共享软件,如果你喜欢这个软件,并且能为你带来价值,请购买. 联系方式:[email protected] 在日常工作中,你一定遇到这样的事情,经常要在每个固定时间出一个报告,或简单或复杂.每次还可能要改动一些参数. 报告的形式可能是文字描述,也有图表,但格式都不固定.数据来源也是千奇百怪,可能是各系统中抽象数据

勒索蠕虫-WanaCrypt0r(比特币病毒)防治攻略和事件全回顾

1 事件背景 ====== 2017年5月12日星期五,全球近100个国家(中国.西班牙.意大利.葡萄牙.俄罗斯.乌克兰)的,多个行业机构的电脑感染名为WannaCry0r的勒索软件.目前据报道英国医疗.德国火车站.中国各大学教育网及内网.中国公共行业自助设备等均已经感染WannaCry0r的勒索软件.WannaCry0r勒索软件支持28种不同的语言,加密179种不同类型的文件,并要求受害者使用比特币汇款(300美金- 600美金),以解密被加密等数据文件. 点击查看最新的攻击地图 攻击地图查看

“永恒之蓝”第一弹-关于防范感染勒索蠕虫病毒的紧急通知

北京时间2017年5月12日20时起,一款名为WannaCry/Wcry的勒索蠕虫病毒在全球范围开始传播.感染该病毒后的用户系统重要数据会被黑客加密,并索取一定价值的比特币后,数据才会被解密. 本文为第一时间全员群发通知邮件内容:关于防范感染勒索蠕虫病毒的紧急通知,内容如下: 各位小伙伴,大家好: 北京时间2017年5月12日20时起,一款名为WannaCry/Wcry的勒索蠕虫病毒在全球范围开始传播.感染该病毒后的用户系统重要数据会被黑客加密,并索取一定价值的比特币后,数据才会被解密.因此该病

WannaCrypt0r分析报告

  病毒分析报告   样本名 WannaCrypt0r 版本 原版 时间 2018-05-08 平台 Windows 7-32位   目录 1.样本概况... 3 1.1 样本信息... 3 1.2 测试环境及工具... 3 1.3 分析目标... 3 1.4 样本行为分析... 3 1.4.1查壳... 3 1.4.2 原样本分析... 4 1.4.3 tasksche.exe分析... 6 1.4.3 crypt.dll分析... 12 2,感谢... 17   1.样本概况 1.1 样本信

控制指令高达二十多种:远控木马Dendoroid.B分析报告( 转)

控制指令高达二十多种:远控木马Dendoroid.B分析报告 IT社区推荐资讯 - ITIndex.net Apr 24 近期,360团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招用户的手机,控制指令高达二十多种,窃取用户手机通讯录,短信,照片及其它重要隐私数据.这个远控木马与去年知名的Android.Dendoroid木马家族手段非常相似,所以我们将其命名为 Android.Dendoroid.B. 一.木马Android受控端恶意行为分析 ‍‍ 1.释放文件,隐藏图标,启

中华英才网竞品分析报告2016

中华英才网竞品分析报告 1 背景 1.1 行业背景 1) 网民增速不断提升,移动端网民规模过半. 2016年1月22日,中国互联网络信息中心 (CNNIC)发布第37次<中国互联网络发展状况统计报告>.截至2015年12月,中国网民规模达6.88亿, 半数中国人已接入互联网. 其中,2015年新增网民3951万人,增长率为6.1%,较2014年提升1.1个百分点,网民规模增速有所提升. 图 1  2011-2018年中国整体网民数量及增长趋势 <报告>同时显示,网民的上网设备正在向

《亿人帮》与《新米公益》竞品分析报告(简要版)

<亿人帮>与<新米公益>竞品分析报告(简要版) --白斌 [email protected] iOS. APP版本皆为最新版 2016.12.12 竞品选择:<新米公益> 理由:都是互联网+公益,项目模式相同,两款APP均在2015年第二季度上线,SWOT四方面两者几乎是同样的起点.下面从产品的五个层次对二者进行分析并提出建议 一.战略层: 1.产品比较 产品名称 志愿者参与方式 slogan <新米公益> 走路.早起.答题 不止更好的自己 <亿人帮&

【2015年奇虎360|绿盟科技|唯品会|4399秋招岗位分析及内推】一大波网络|安全|运维岗位来袭~

2015年华为网申截止提醒 ①华为的网申页面:http://career.huawei.com/recruitment/campus.html,之前说明是9月3号截止网申,这两天上去看,发布时间又更新为9月1号,不管怎样,建议大家还是先投递吧.按照拼客科技这边的经验(内部已经有3枚学员入职华为),我们前两年投递的岗位是:技术服务工程师和销售解决方案经理,都是大家学习网络和安全这块的,比较匹配的岗位. ②今年主要是技术服务工程师.网络安全工程师,如果打算走销售方向,也可以投递他们的营销工程师.产品

蝗虫手机木马分析报告

一.主包分析 包名:com.example.xxshenqi 应用名:XX神器 MD5:5956C29CE2E17F49A71AC8526DD9CDE3 主要恶意行为:遍历联系人后群发短信,使恶意木马再次扩散传播:伪造钓鱼页面,诱骗用户注册填写个人信息,导致隐私泄露:安装恶意子包. 权限: 程序入口 点击应用图标启动 遍历手机中的通讯录,获得联系人姓名及号码,并向这些号码发送内容为“[联系人]看这个http://cdn.yyupload.com/down/4279193/XXshenqi.apk