WannaCry勒索软件分析

2017-5-14 Nie.Meining Debug

大家都知道,昨天WannaCry勒索软件在一夜之间利用系统漏洞席卷全球,特别是在内网和专网中,通过攻击445端口(蠕虫性质)大肆传播,造成了巨大数据损失。我也凑个热闹,找到一批样本上传金刚分析系统(http://tcasoft.com/),看看效果。

其中比较典型的分为两类,一类就是昨天大家新闻中看到的,访问某个超长的域名,如果存在就放弃攻击。如图:

2.png

1.png

其实这个“域名开关”并不完全可以保平安。还有一类样本一上来就搞破坏,并不会探测域名。如某样本的分析报告:

http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=22bfa9109ab9d405af4188867620c730&sk=60036875

下面对该报告简单解读。

首先观察运行过程截图可以看出,样本执行初期没有任何引人注意的表现,当桌面被替换、前台弹出提示信息时,一切都为时已晚,用户的文件就已经被加密,要想恢复文件内容只能向攻击者提供的地址汇入300美元比特币了。如下图所示。

3.png

4.jpg


观察行为列表可以看到,样本释放了大量可执行程序以及bat、vbs等恶意脚本,并借助这些程序、脚本和Windows自带的系统工具共同完成攻击目的。例如通过attrib系统工具实现自我隐藏、利用icacls工具获取文件操作权限、利用vssadmin工具破坏系统还原功能、利用reg程序导入注册表实现自启动等。如下图所示。

5.png

6.png

7.png


一切就绪后,样本开始重头戏——文件加密。在行为列表中可以看到大量与文件操作相关的行为,包括修改文件属性、读写文件、修改文件创建时间、文件重命名等。这些正是WannaCry对用户文件进行加密的详细过程。如下图所示。

8.png


进一步观察样本的详细行为数据可以发现,攻击者其实会针对每个文件生成一个扩展名为WNCRYT的临时文件,在加密完成并设置好文件创建时间后,会将该临时文件重命名为WNCRY文件。如下图所示。

9.png


具体这些被加密后的文件长什么样呢?只需查看分析报告里的“中间文件”就可以看到。如下图所示,攻击者感兴趣的文件主要包括doc、xls、jpg等各种文档和图片,被加密后文件头部均变成了“WANACRY!”标识。

a.png


除了以上主机破坏行为以外,样本运行过程中还能观测到大量的网络行为,连接地址包括美国、德国、奥地利等多个国家,同时会尝试连接一个很长的域名。如图所示。

b.png

c.png


由于金刚系统在分析过程中,引擎并未连接真实互联网,因此网络行为我就没有展开分析了。其实该样本还有不少技术细节上文并未展开介绍,大家若有兴趣欢迎查看分析报告自行研究。

评论:

miltonww69
2021-09-15 04:53
New hot project galleries, daily updates
http://oneporn.sandersville.hoterika.com/?aimee
teen brother porn mature women on little girls porn cartoon ghost in the shell porn emo free porn anal porn stars queens
WilliamSax
2021-09-14 16:01
第一借錢網擁有全台最多的借錢資訊。資訊最齊全,當舖業,信貸業,在第一借錢網裏一應俱全

https://168cash.com.tw/
Ronnieutive
2021-09-13 16:55
點子數位科技有限公司

https://spot-digital.com.tw/
Robertdor
2021-09-13 15:03
第一借錢網擁有全台最多的借錢資訊。資訊最齊全,當舖業,信貸業,在第一借錢網裏一應俱全。

https://168cash.com.tw/
JohnnyWheby
2021-09-11 00:50
Game LIFE 遊戲情報


https://gamelife.tw/portal.php
Richardglype
2021-09-09 17:57
歐客佬精品咖啡 |OKLAO COFFEE|蝦皮商城|咖啡豆|掛耳|精品咖啡|咖啡禮盒 專賣|精品麵包

https://first-cafe.com/
JustinMet
2021-09-01 17:33
Music has tied us
Keyboards & Pianos
https://fas.st/NNXXI

Drums & Percussion
https://fas.st/Vay4s

String Instruments
https://fas.st/32jbD
DwightSib
2021-08-27 12:49
第一借錢網擁有全台最多的借錢資訊。資訊最齊全,當舖業,信貸業,在第一借錢網裏一應俱全

https://168cash.com.tw/
Dianeeximb
2021-08-26 01:38
V srdci Karlína jsme našli prostor pro fusion, která je podstatou naší filosofie: fusion jako empatické spojení kulinářských tradic moderní Evropy i Asie. Naše kuchyně je místem radosti — a je otevřená vašim zrakům i přáním. Zveme vás k rozhovoru mezi vašimi smysly a naší intuicí.
Fusion úsilí i srdce.
Náš tým je mezinárodní, ale všichni patří k národu vášnivých milovníků rafinovaných chutí. Ovlivňují se navzájem, soupeří skvělými nápady. Stále se inspirují v zahraničí, v sezónních chutích a možnostech, které nabízí Evropa kořeněná Asií. Za naším “signature dish“ se hosté vracejí jako očarovaní. Křupavé Sanduga krevety v omáčce z mořského vlka s jemným arašídovým dresingem na chvíli zastaví konverzaci u vašeho stolu — přivřete oči a budete jen vnímat radost smyslů. A pak bude o čem mluvit!
SharonCobic
2021-08-22 20:13
V srdci Karlína jsme našli prostor pro fusion, která je podstatou naší filosofie: fusion jako empatické spojení kulinářských tradic moderní Evropy i Asie. Naše kuchyně je místem radosti — a je otevřená vašim zrakům i přáním. Zveme vás k rozhovoru mezi vašimi smysly a naší intuicí.
Fusion úsilí i srdce.
Náš tým je mezinárodní, ale všichni patří k národu vášnivých milovníků rafinovaných chutí. Ovlivňují se navzájem, soupeří skvělými nápady. Stále se inspirují v zahraničí, v sezónních chutích a možnostech, které nabízí Evropa kořeněná Asií. Za naším “signature dish“ se hosté vracejí jako očarovaní. Křupavé Sanduga krevety v omáčce z mořského vlka s jemným arašídovým dresingem na chvíli zastaví konverzaci u vašeho stolu — přivřete oči a budete jen vnímat radost smyslů. A pak bude o čem mluvit!
TerrySek
2021-08-09 15:48
第一借錢網擁有全台最多的借錢資訊。資訊最齊全,當舖業,信貸業,在第一借錢網裏一應俱全

https://168cash.com.tw/
Indendy
2021-02-15 15:55
Home page: https://pinapchik.com/
Indendy
2021-02-12 02:04
Home page: https://supermama.top/
TomasfiZ
2021-02-11 19:15
tribal wars hack 08-2012
msicuu2 windows xp descargar gratis
noderunner sharepoint 2013 high cpu
pib and pog dailymotion
gxfxghl has stopped working error message

hoobastank for n ever  youtube
usb xplorer 360
pifsvc what is it
what is clupdater
autoit3help not working

tfs 2010 tf get
smtpdiag exchange 2010
circuito street workout video
steam deleted itself
hkship stopped working skidrow password

http://free.1frees-ebooks-to-pdfs.com/
Stevenclism
2021-01-13 10:06
第一借錢網擁有全台最多的借錢資訊

https://168cash.com.tw/

发表评论:

Powered by emlog