小聂的俭朴斋

WannaCry勒索软件分析

2017-5-14 Nie.Meining Debug

大家都知道，昨天WannaCry勒索软件在一夜之间利用系统漏洞席卷全球，特别是在内网和专网中，通过攻击445端口（蠕虫性质）大肆传播，造成了巨大数据损失。我也凑个热闹，找到一批样本上传金刚分析系统（http://tcasoft.com/），看看效果。

其中比较典型的分为两类，一类就是昨天大家新闻中看到的，访问某个超长的域名，如果存在就放弃攻击。如图：

其实这个“域名开关”并不完全可以保平安。还有一类样本一上来就搞破坏，并不会探测域名。如某样本的分析报告：

http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=22bfa9109ab9d405af4188867620c730&sk=60036875

下面对该报告简单解读。

首先观察运行过程截图可以看出，样本执行初期没有任何引人注意的表现，当桌面被替换、前台弹出提示信息时，一切都为时已晚，用户的文件就已经被加密，要想恢复文件内容只能向攻击者提供的地址汇入300美元比特币了。如下图所示。

观察行为列表可以看到，样本释放了大量可执行程序以及bat、vbs等恶意脚本，并借助这些程序、脚本和Windows自带的系统工具共同完成攻击目的。例如通过attrib系统工具实现自我隐藏、利用icacls工具获取文件操作权限、利用vssadmin工具破坏系统还原功能、利用reg程序导入注册表实现自启动等。如下图所示。

一切就绪后，样本开始重头戏——文件加密。在行为列表中可以看到大量与文件操作相关的行为，包括修改文件属性、读写文件、修改文件创建时间、文件重命名等。这些正是WannaCry对用户文件进行加密的详细过程。如下图所示。

进一步观察样本的详细行为数据可以发现，攻击者其实会针对每个文件生成一个扩展名为WNCRYT的临时文件，在加密完成并设置好文件创建时间后，会将该临时文件重命名为WNCRY文件。如下图所示。

具体这些被加密后的文件长什么样呢？只需查看分析报告里的“中间文件”就可以看到。如下图所示，攻击者感兴趣的文件主要包括doc、xls、jpg等各种文档和图片，被加密后文件头部均变成了“WANACRY!”标识。

除了以上主机破坏行为以外，样本运行过程中还能观测到大量的网络行为，连接地址包括美国、德国、奥地利等多个国家，同时会尝试连接一个很长的域名。如图所示。

由于金刚系统在分析过程中，引擎并未连接真实互联网，因此网络行为我就没有展开分析了。其实该样本还有不少技术细节上文并未展开介绍，大家若有兴趣欢迎查看分析报告自行研究。

评论：