WannaCry勒索软件分析

2017-5-14 Nie.Meining Debug

大家都知道,昨天WannaCry勒索软件在一夜之间利用系统漏洞席卷全球,特别是在内网和专网中,通过攻击445端口(蠕虫性质)大肆传播,造成了巨大数据损失。我也凑个热闹,找到一批样本上传金刚分析系统(http://tcasoft.com/),看看效果。

其中比较典型的分为两类,一类就是昨天大家新闻中看到的,访问某个超长的域名,如果存在就放弃攻击。如图:

2.png

1.png

其实这个“域名开关”并不完全可以保平安。还有一类样本一上来就搞破坏,并不会探测域名。如某样本的分析报告:

http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=22bfa9109ab9d405af4188867620c730&sk=60036875

下面对该报告简单解读。

首先观察运行过程截图可以看出,样本执行初期没有任何引人注意的表现,当桌面被替换、前台弹出提示信息时,一切都为时已晚,用户的文件就已经被加密,要想恢复文件内容只能向攻击者提供的地址汇入300美元比特币了。如下图所示。

3.png

4.jpg


观察行为列表可以看到,样本释放了大量可执行程序以及bat、vbs等恶意脚本,并借助这些程序、脚本和Windows自带的系统工具共同完成攻击目的。例如通过attrib系统工具实现自我隐藏、利用icacls工具获取文件操作权限、利用vssadmin工具破坏系统还原功能、利用reg程序导入注册表实现自启动等。如下图所示。

5.png

6.png

7.png


一切就绪后,样本开始重头戏——文件加密。在行为列表中可以看到大量与文件操作相关的行为,包括修改文件属性、读写文件、修改文件创建时间、文件重命名等。这些正是WannaCry对用户文件进行加密的详细过程。如下图所示。

8.png


进一步观察样本的详细行为数据可以发现,攻击者其实会针对每个文件生成一个扩展名为WNCRYT的临时文件,在加密完成并设置好文件创建时间后,会将该临时文件重命名为WNCRY文件。如下图所示。

9.png


具体这些被加密后的文件长什么样呢?只需查看分析报告里的“中间文件”就可以看到。如下图所示,攻击者感兴趣的文件主要包括doc、xls、jpg等各种文档和图片,被加密后文件头部均变成了“WANACRY!”标识。

a.png


除了以上主机破坏行为以外,样本运行过程中还能观测到大量的网络行为,连接地址包括美国、德国、奥地利等多个国家,同时会尝试连接一个很长的域名。如图所示。

b.png

c.png


由于金刚系统在分析过程中,引擎并未连接真实互联网,因此网络行为我就没有展开分析了。其实该样本还有不少技术细节上文并未展开介绍,大家若有兴趣欢迎查看分析报告自行研究。

[分析引擎开发笔记]64位系统支持»

评论:

Deborahrah
约 10 小时前
https://passcsecenglish.com/forums/topic/6578/
https://zdorovayaeda-online.top/forums/topic/4931
http://www.domesticgoddess.tv/users/grandistkvetis/edit/?updated=true
http://www.morganfit.cl/forums/user/zioraispecse/edit/?updated=true
http://passportsupport.org/forums/topic/3088/
http://wara-diaspora-guyane.com/forums/topic/1190/
http://ashermansyndrome.com/forums/users/deiplasatac/edit/?updated=true
https://www.aqoononline.com/forums/topic/5826/
http://yogabrunchlondon.co.uk/forums/user/diaforvabu/edit/?updated=true
http://www.funbuzztime.com/forums/users/bulnegumits/edit/?updated=true
http://site-fpmivt.ru/?topic=1632
https://www.youthwinconnect.com/forums/topic/1888/
https://webrani.com/forums/topic/6807/
http://flavorbuzzdelivery.com/forums/topic/405/
http://acan.org.np/?topic=7848
http://makedialog.com/groups/9445
http://www.protopalette.com/forums/topic/9244/
https://www.terraeve.com/forum/topic/7915/
https://socratesacademyonline.com/forums/user/procovformo/edit/?updated=true
http://www.educationtoday.com.pk/forums/topic/1980/
回复
Deborahrah
约 17 小时前
http://www.travelerlust.com/forums/users/thinviconscit/edit/?updated=true
http://wara-diaspora-guyane.com/forums/topic/1693/
http://lcc.edu.pk/?topic=6264
https://codingson.com/forums/user/penrussgargolf/edit/?updated=true
http://totalsurvivalmc.com/forums/topic/8337/
https://animeunboxed.com/forums/topic/2842/
https://www.genitoredigitale.com/forums/topic/5388/
http://knmillionaire.com/forums/topic/5974/
https://paranormalhub.org/forums/topic/casino-online3976/
http://app-communication.info/bbs/users/lauprotatcur/edit/?updated=true
https://purebodystore.com/forums/user/nilitelna/edit/?updated=true
https://xaromas.com/forums/topic/4988/
https://themeoy.com/topic/3633/
https://eclub.vn/forums/topic/6197/
http://starway.guru/forums/topic/4384/
https://makerisme.nl/forums/user/schedrorealli/edit/?updated=true
https://mesjabar.org/forums/user/trolarupcas/edit/?updated=true
https://t3elearning.com/forums/topic/1485/
https://www.cheikherouhani.com/forums/topic/3998/
https://acheter-document-enligne.com/forums/topic/8103/
回复
sarahcv1
2019-10-13 23:29
New project started to be available today, check it out
http://pornavrillavine.miaxxx.com/?mikaela

swingers porn sites huge cock shemale porn videos scarlett porn star ama xxx porn melina free porn vids
回复
Darlatop
2019-10-13 14:21
Hello, friends!
Recently i found this awesome site, where you can find any girl from your neighbourhood - http://bit.ly/hornyladies11

Go check it out, before it's to late! Girls are waiting for you..

Good luck for all of you, my friends!
回复
Rannevknoca
2019-10-04 06:07
kosten pro dosis fr viagra
回复
Rannevknoca
2019-10-04 01:32
i use it viagra online online
回复
Danielfup
2019-10-03 23:41
第一借錢網擁有全台最多的借錢資訊

https://168cash.com.tw/
回复
Rannevknoca
2019-10-03 18:24
is overdose 200mg
回复
Keithjoppy
2019-09-30 22:32
【揚歌-教學麥克風直營店】官方線上購物網站─JM-180B有線麥克風擴音器│無線麥克風擴音器│揚歌小蜜蜂│專營教學麥克風及教學擴音器


https://mic-shop.com/
回复
Rannevknoca
2019-09-28 22:01
why to take is
回复
Darrenfoova
2019-09-28 10:08
매장에서 즐기셨던 바다이야기 게임을 그대로 도입한 오리지널 바다이야기 릴 게임은 코인드롭, 수조, 예시, 잭팟등... 매장 기계 게임과 100% 일치 합니다.
무엇보다 365일 24시간 운영 중이며, 조건 없는 1분내 충전과 환전으로 더욱 높은 신뢰도를 약속드립니다.  매일 매일
옛 느낌 그대로 언제 어디서든 자유롭게 오리지널 바다이야기 릴 게임을 즐겨보세요.
저희 온라인 바다이야기 게임은 국내 최고의 환수율과 승률을 경험하실 수 있습니다.더불어 먹튀 걱정 없이 안전하고 편안하게 게임을 즐기실 수 있습니다. 먹튀 걱정 없는 안전한 바다이야기 사이트

릴게임 https://www.mbc82.com
릴게임사이트 https://www.mbc82.com
실시간 릴게임 https://www.mbc82.com
크레이지슬롯 https://www.mbc82.com
크레이지슬롯 주소 https://www.mbc82.com
꽁머니 https://www.mbc82.com
무료릴게임 https://www.mbc82.com
슬롯머신 https://www.mbc82.com
슬롯사이트 https://www.mbc82.com
바다이야기 https://www.mbc82.com
모바일릴게임 https://www.mbc82.com
야마토게임 https://www.mbc82.com
오션파라다이스 https://www.mbc82.com
回复
Martymut
2019-09-27 13:08
寳島騎跡自行車協會 https://fmb.tw/
回复
Igoriknoca
2019-09-25 21:45
dubai is where can be

     6009 precio del is en chile
回复
Aarontic
2019-09-19 11:05
http://atenololchlorthalidone.com/ - buy atenolol
回复
shereevz18
2019-09-19 07:00
Browse over 500 000 of the best porn galleries, daily updated collections
http://hornywomenporn.hotnatalia.com/?kaylyn

free sex porn pussy girl little oral annie porn eskimo dental porn tube porn video movie brutal adult amateur uploads porn
回复

发表评论:

Powered by emlog