WannaCry勒索软件分析

2017-5-14 Nie.Meining Debug

大家都知道,昨天WannaCry勒索软件在一夜之间利用系统漏洞席卷全球,特别是在内网和专网中,通过攻击445端口(蠕虫性质)大肆传播,造成了巨大数据损失。我也凑个热闹,找到一批样本上传金刚分析系统(http://tcasoft.com/),看看效果。

其中比较典型的分为两类,一类就是昨天大家新闻中看到的,访问某个超长的域名,如果存在就放弃攻击。如图:

2.png

1.png

其实这个“域名开关”并不完全可以保平安。还有一类样本一上来就搞破坏,并不会探测域名。如某样本的分析报告:

http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=22bfa9109ab9d405af4188867620c730&sk=60036875

下面对该报告简单解读。

首先观察运行过程截图可以看出,样本执行初期没有任何引人注意的表现,当桌面被替换、前台弹出提示信息时,一切都为时已晚,用户的文件就已经被加密,要想恢复文件内容只能向攻击者提供的地址汇入300美元比特币了。如下图所示。

3.png

4.jpg


观察行为列表可以看到,样本释放了大量可执行程序以及bat、vbs等恶意脚本,并借助这些程序、脚本和Windows自带的系统工具共同完成攻击目的。例如通过attrib系统工具实现自我隐藏、利用icacls工具获取文件操作权限、利用vssadmin工具破坏系统还原功能、利用reg程序导入注册表实现自启动等。如下图所示。

5.png

6.png

7.png


一切就绪后,样本开始重头戏——文件加密。在行为列表中可以看到大量与文件操作相关的行为,包括修改文件属性、读写文件、修改文件创建时间、文件重命名等。这些正是WannaCry对用户文件进行加密的详细过程。如下图所示。

8.png


进一步观察样本的详细行为数据可以发现,攻击者其实会针对每个文件生成一个扩展名为WNCRYT的临时文件,在加密完成并设置好文件创建时间后,会将该临时文件重命名为WNCRY文件。如下图所示。

9.png


具体这些被加密后的文件长什么样呢?只需查看分析报告里的“中间文件”就可以看到。如下图所示,攻击者感兴趣的文件主要包括doc、xls、jpg等各种文档和图片,被加密后文件头部均变成了“WANACRY!”标识。

a.png


除了以上主机破坏行为以外,样本运行过程中还能观测到大量的网络行为,连接地址包括美国、德国、奥地利等多个国家,同时会尝试连接一个很长的域名。如图所示。

b.png

c.png


由于金刚系统在分析过程中,引擎并未连接真实互联网,因此网络行为我就没有展开分析了。其实该样本还有不少技术细节上文并未展开介绍,大家若有兴趣欢迎查看分析报告自行研究。

[分析引擎开发笔记]64位系统支持»

评论:

DonnaLoorp
约 13 小时前
V srdci Karlína jsme našli prostor pro fusion, která je podstatou naší filosofie: fusion jako empatické spojení kulinářských tradic moderní Evropy i Asie. Naše kuchyně je místem radosti — a je otevřená vašim zrakům i přáním. Zveme vás k rozhovoru mezi vašimi smysly a naší intuicí.
Fusion úsilí i srdce.
Náš tým je mezinárodní, ale všichni patří k národu vášnivých milovníků rafinovaných chutí. Ovlivňují se navzájem, soupeří skvělými nápady. Stále se inspirují v zahraničí, v sezónních chutích a možnostech, které nabízí Evropa kořeněná Asií. Za naším “signature dish“ se hosté vracejí jako očarovaní. Křupavé Sanduga krevety v omáčce z mořského vlka s jemným arašídovým dresingem na chvíli zastaví konverzaci u vašeho stolu — přivřete oči a budete jen vnímat radost smyslů. A pak bude o čem mluvit!
回复
LamarGap
2021-10-22 20:12
https://subscribe.ru/group/pressa/17219210/
https://ruarchitectdesign.mirtesen.ru/blog/43246139104/Izgotovlenie-i-proizvodstvo-kuhon-po-individualnyim-razmeram
https://www.evernote.com/shard/s590/sh/086f7554-c502-1995-2237-c822ed38263a/a1d5d24f5fa4532f771e5346b3679057
https://telegra.ph/Izgotovlenie-i-proizvodstvo-kuhon-po-individualnym-razmeram-10-20
https://teletype.in/@rupamyatn/zTBHg-VBVHA
https://www.familyspace.ru/groups/g_9102467/article_Izgotovlenie_i_proizvodstvo_kuhon_po_individualnym_razmeram_4553
http://rur.biz/entry.php?b=10252
https://www.colors.life/post/1616406/
https://pepper-field-0b5.notion.site/adacf1ae51b049cc9cae510373a61382
https://leninogorsky.ru/blogs/vmaly5cheva/kupit-kukhnyu-iz-kachestvennykh-materialov-s-dostavkoy-i-sborkoy.php
回复
ivanenokol
2021-10-18 09:57
http://extreme.lviv.ua/?tp=publications&publ2_code=3
http://fbmo.ru/logic_20000076.html
http://2b3.ru/podvodnye-obitateli/akuly/kitovaya-akula/
http://rollershop.pp.ua/shop/index.php?productID=429
http://ufk.lviv.ua/ua-category-boxing.html
回复
DavidbeW
2021-10-15 18:53
Лучшая гарнитура https://pirpir.online/ порно видео онлайн ждёт своего зрителя на нашем сайте. Смотрите сочную клубничку в режиме онлайн https://pirpir.online/categories/%D0%A7%D0%B0%D1%81%D1%82%D0%BD%D0%BE%D0%B5/ совершенно бесплатно. Поддайтесь искушению и следуйте зову плоти.
回复
BerthaHoumb
2021-10-10 06:42
Rozvoz suhi Praha. Bistro by Delivery Fusion Restaurace Sanduga +420 773 938 433
回复
ColemanFig
2021-10-04 13:09
I personally have never been to the store myself, unfortunately very far) But I made a purchase far from a single one, I was insanely happy with the purchases .. the quality is gorgeous
http://offeramazon.ru/zg5p
回复
myrtledi16
2021-10-04 11:48
Hot sexy porn projects, daily updates
http://rio.lucio.eating.pussy.hoterika.com/?melina
free porn videos downloads porn stars with hottest bodies free strreaming porn gynacologist porn movie biggest breated porn star
回复
MarylouBem
2021-09-30 20:42
Медицинский центр «Эстетика» уже давно зарекомендовал себя как стабильное и успешно развивающееся медицинское учреждение. Его история началась с открытия в 1998 году, и в настоящее время включает в себя стоматологию, косметологию и диетологию.
回复
ProxyCrons
2021-09-26 23:52
Всегда бесплатные прокси. Always free proxies. Simple Proxy Bot
https://www.youtube.com/watch?v=wSDv_xa10Fg
回复
Miltonemacy
2021-09-26 12:21
XXX Home Free XXX Porn
XXX Free Porn Tube
XXX Japan Porn Free Japan Porn
XXX Japanese Porn Tube Japan Porn
XXXhome Porn Tube Video
XXXChina Porn Tube
XXX Japanese Porn Tube Japan Porn
Japan Porn Video XXX Japan Porn Tube
https://cn.xxxcomvideo.com
https://zh.xxxwww1.com
回复
JustinMet
2021-09-21 18:33
Despite the risks of correction, the chances of updating the historical maximum for bitcoin until the end of the year remain.
A decrease to the $ 40,000 mark as part of the correction will not lead to a collapse in prices, since in general on-chain metrics
http://offeramazon.ru/bitcoin
回复
JoanneTox
2021-09-18 09:48
Пригон и продажа авто из Литвы, США, Грузии, ЕС
https://врумврум.рф/
回复
EnroffJoync
2021-09-15 12:25
tadalafil cost  https://truetadalafil.com/  - tadalafil 5 mg tablet  <a href="https://truetadalafil.com/ ">what is tadalafil used for </a>
回复
Immipitemygiene
2021-09-15 12:06
how to do your homework  <a href="https://instantcollegeessay.com/ ">write my paper for me </a> <a href="https://instantcollegeessay.com/ ">auto essay typer </a>
回复
Williamkarma
2021-09-15 09:16
第一借錢網擁有全台最多的借錢資訊。資訊最齊全,當舖業,信貸業,在第一借錢網裏一應俱全。


https://168cash.com.tw/
回复

发表评论:

Powered by emlog