[病毒分析]WannaCry病毒分析(永恒之蓝)

1.样本概况   1.1样本信息

病毒名称：Trojan-Ransom.Win32.Wanna.m

所属家族：木马/勒索/蠕虫

MD5: DB349B97C37D22F5EA1D1841E3C89EB4

SHA1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26

CRC32: 9FBB1227

 

1.2测试环境及工具

VMware + win7 32位 + PEID + OD + IDA + 火绒剑 + PCHunter     2.病毒行为

大量文件被加密,后缀名为.WNCRY

 

每隔一段时间弹出勒索窗口

 

桌面背景被强制更换

 

3.恶意代码分析

病毒执行后会尝试连接 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

 

进入fun_enterCry之后通过判断参数的个数来执行相应的流程。 当参数>=2，进入服务流程 否则进入病毒主流程

 

服务流程 创建服务启动,每次开机都会自启动

 

从内存中读取MS17_010漏洞利用代码,payload分为x86和x64两个版本

 

分别创建两个线程,扫描内网和外网,进行蠕虫传播感染

 

对于内网,则直接扫描当前计算机所在的网段进行感染

 

对于外网,随机生成公网IP,尝试连接445端口 

 

连接445端口

 

如果445端口连接成功,则对该地址进行漏洞攻击

 

病毒主流程 加载资源,并把资源写入"C:\windows\tasksche.exe"

 

接着执行tasksche.exe

 

依照目录找到tasksche.exe 

 

 

把使用到的一些API地址赋值给全局变量

 

加载 t.wncy 文件, 并执行t.wncy的 TaskStart函数

 

此处我们无法继续使用IDA往下分析,因为t.wncy的内容是动态申请出来的,我们使用OD把这块内存dump出来,再使用IDA分析

 

接下来继续使用IDA分析

创建互斥体

 

初始化全局变量(一些使用到的API)

 

检查互斥体是否存在

 

检查00000000.dky和00000000.pky是否存在，是否是配对的,如果是返回1,否则返回0

 

如果已经加密过,则创建一个线程,做三件事情 1.更新c.wncy

 

2.启动 @[email protected]

 

3.设置启动项

 

如果没有加密过,初始化秘钥,保存到00000000.pky, 00000000.eky。 生成一个8字节的随机数

 

接着创建5个线程 线程1每隔25秒 更新全局时间标记 循环写入数据到00000000.res,包括上面生成的8字节的随机数

线程2 每隔5秒检查00000000.dky和00000000.pky是否存在，以及密钥是否配对，是则设置全局标志，然后退出线程

 

线程3 每隔3秒检测磁盘盘符是否发生变化,如果发生变化 则开启线程 加密新磁盘的文件 

线程4 每隔30秒 运行 taskdl.exe 清除所有磁盘的回收站文件

线程5 和 判断已加密完成的做一样工作

 

创建快捷方式,生成提示文件 , 枚举文件,为加密做准备

 

强制结束相关进程,防止加密时文件被占用

 

遍历文件

 

判断文件类型

 

会加密以下文件类型

File_Type_A .doc .docx .xls .xlsx .ppt .pptx .pst .ost .msg .eml .vsd .vsdx .txt .csv .rtf .123 .wks .wk1 .pdf .dwg  .onetoc2 .snt .jpeg .jpg   File_Type_B .docb .docm .dot .dotm .dotx .xlsm .xlsb .xlw .xlt .xlm .xlc .xltx .xltm .pptm .pot .pps .ppsm .ppsx .ppam .potx .potm .edb .hwp .602 .sxi .sti .sldx .sldm .sldm .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .backup .iso .vcd .bmp .png .gif .raw  .cgm .tif .tiff .nef .psd .ai .svg .djvu .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .sh .class .jar .java .rb .asp .php .jsp .brd .sch .dch .dip .pl .vb .vbs .ps1 .bat .cmd .js .asm .h .pas .cpp .c .cs .suo .sln .ldf .mdf .ibd .myi .myd .frm .odb .dbf .db .mdb .accdb .sql .sqlitedb .sqlite3 .asc .lay6 .lay .mml .sxm .otg .odg .uop .std .sxd .otp .odp .wb2 .slk .dif .stc .sxc .ots .ods .3dm .max .3ds .uot .stw .sxw .ott .odt .pem .p12 .csr .crt .key .pfx .der

 

比较路径 是否是不加密的,保证系统正常运行

 

创建AES秘钥,加密文件

 

 加密流程图

 

加密流程: 加密文件的算法是AES, 而AES秘钥被RSA公钥_B加密, 私钥_B 被RSA公钥A 加密, 而私钥_A在攻击者手里

 

加密文件格式: 对文件进行加密时,首先会生成新的AES秘钥,使用RSA公钥_B对生成的AES秘钥进行加密,保存到要加密文件的开头部分,(在WANACRY!)标识符之后,随后使用AES秘钥对文件进行加密 解密流程: 每个被加密的文件均使用不同的AES秘钥,若想对文件进行解密操作,需要先获取RSA私钥_B, 将文件头的AES秘钥进行解密,再使用AES秘钥对文件进行解密,而要获得RSA私钥_B则必须要获取私钥_A,私钥_A是在攻击者手里,理论上文件也就无法被解开

 

3.解决方案 3.1 打补丁,此病毒能大范围传播正是由于很多机器没有打补丁,被攻击之后导致中毒,没有中毒的机器,尽快打补丁可以避免中毒,但是已经中毒的打补丁也没用了 3.2 关闭端口 此病毒所利用漏洞只要利用445端口传播,关闭端口漏洞就无法利用 3.3 创建互斥体 此办法只适用于未变种版本,由于病毒会检测是否创建互斥体MsWinZonesCacheCounterMutexA,用户可自行创建此互斥体,这样病毒检测到互斥体就不会进行加密操作 3.4 因为病毒是生成加密过的用户文件后再删除原始文件，所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁，导致被删除的原始文件数据块被覆盖，致使实际恢复效果有限。且随着系统持续运行，恢复类工具恢复数据的可能性会显著降低。

 

4.结语 此病毒通过远程高危漏洞进行自我传播复制,并且加密文件采用了高强度的双RSA+AES加密,至少目前来说破解秘钥是不可能的,只能通过预防的方式来防御,勤打补丁,关闭445、139等端口,及时安装安全软件