WannaCry勒索软件分析
2017-5-14 Nie.Meining Debug
大家都知道,昨天WannaCry勒索软件在一夜之间利用系统漏洞席卷全球,特别是在内网和专网中,通过攻击445端口(蠕虫性质)大肆传播,造成了巨大数据损失。我也凑个热闹,找到一批样本上传金刚分析系统(http://tcasoft.com/),看看效果。
其中比较典型的分为两类,一类就是昨天大家新闻中看到的,访问某个超长的域名,如果存在就放弃攻击。如图:
其实这个“域名开关”并不完全可以保平安。还有一类样本一上来就搞破坏,并不会探测域名。如某样本的分析报告:
下面对该报告简单解读。
首先观察运行过程截图可以看出,样本执行初期没有任何引人注意的表现,当桌面被替换、前台弹出提示信息时,一切都为时已晚,用户的文件就已经被加密,要想恢复文件内容只能向攻击者提供的地址汇入300美元比特币了。如下图所示。
观察行为列表可以看到,样本释放了大量可执行程序以及bat、vbs等恶意脚本,并借助这些程序、脚本和Windows自带的系统工具共同完成攻击目的。例如通过attrib系统工具实现自我隐藏、利用icacls工具获取文件操作权限、利用vssadmin工具破坏系统还原功能、利用reg程序导入注册表实现自启动等。如下图所示。
一切就绪后,样本开始重头戏——文件加密。在行为列表中可以看到大量与文件操作相关的行为,包括修改文件属性、读写文件、修改文件创建时间、文件重命名等。这些正是WannaCry对用户文件进行加密的详细过程。如下图所示。
进一步观察样本的详细行为数据可以发现,攻击者其实会针对每个文件生成一个扩展名为WNCRYT的临时文件,在加密完成并设置好文件创建时间后,会将该临时文件重命名为WNCRY文件。如下图所示。
具体这些被加密后的文件长什么样呢?只需查看分析报告里的“中间文件”就可以看到。如下图所示,攻击者感兴趣的文件主要包括doc、xls、jpg等各种文档和图片,被加密后文件头部均变成了“WANACRY!”标识。
除了以上主机破坏行为以外,样本运行过程中还能观测到大量的网络行为,连接地址包括美国、德国、奥地利等多个国家,同时会尝试连接一个很长的域名。如图所示。
由于金刚系统在分析过程中,引擎并未连接真实互联网,因此网络行为我就没有展开分析了。其实该样本还有不少技术细节上文并未展开介绍,大家若有兴趣欢迎查看分析报告自行研究。
评论:
2019-01-08 13:58
http://zzzz.unoforum.pro/?0-1
zzzz.unoforum.pro/?0-1
http://hec.su/gFlm
hec.su/gFlm
2019-01-07 10:44
http://azino777-hot.ru/ - More info!
2019-01-07 02:37
http://milf.lesbian.bloglag.com/?alivia
free hiden cam porn lompoc porn categories videos porn porn sabrina jade videos angel porn gallery
2019-01-06 05:16
2019-01-03 03:35
bd65 precio is pfizer
bd65 is 5mg order online
bd65 canadian is safe
bd65
2019-01-03 01:22
bd65 we like it is india
bd65 we recommend is sale be
bd65 venta is en barcelona
bd65
2019-01-02 19:53
bd65 donde comprar is en nz
bd65 achetez 80 mg is
bd65 is 100 mc
bd65
2019-01-02 16:44
Schaut euch das Video an https://goo.gl/bKzzHR
2019-01-02 15:42
bd65 usefull link discount is
bd65 is in ukraine
bd65 being is prescription
bd65
2019-01-02 14:11
bd65 donde comprar is en nz
bd65 is flssig kaufen
bd65 is be paypal online
bd65
2019-01-02 10:38
bd65 how long effect of is
bd65 precio de la is
bd65 enter site is seizures
bd65
2019-01-02 10:16
bd65 isnde zero assoluto
bd65 usefull link how to get is
bd65 is bestellen schweiz
bd65
链接
分类
最新日志
最新评论
- Stanislavaknoca
nea personal loan ... - travelleral
Бронирование гостини... - CharlesMeats
The best girls for s... - Aarontic
http://zithromax.com... - Aarontic
http://furosemide.te... - Stanislavaknoca
cash loans bend oreg... - cialis online
Impossibility: a wor... - Stanislavaknoca
top payday loan comp... - Stanislavaknoca
payday loans in sapu... - generic cialis
Understanding is a t...
存档
- 2017年5月(1)
- 2017年4月(1)
- 2017年3月(1)
- 2015年3月(1)
- 2014年11月(2)
- 2014年10月(2)
- 2014年8月(1)
- 2014年2月(2)
- 2014年1月(6)
- 2013年12月(15)
- 2012年11月(2)
- 2012年6月(1)
- 2012年3月(1)
- 2012年2月(3)
- 2011年12月(1)
- 2011年11月(1)
- 2011年5月(5)
- 2010年12月(1)
- 2010年11月(3)
- 2010年9月(3)
- 2010年8月(2)
- 2010年4月(1)
- 2010年3月(2)
- 2010年1月(1)
- 2009年12月(8)
- 2009年11月(2)
- 2009年10月(1)
- 2009年9月(1)
- 2009年8月(9)
- 2009年3月(3)
- 2008年7月(2)
- 2008年6月(1)
- 2008年5月(1)
- 2008年4月(5)
- 2008年2月(1)
- 2007年12月(2)
- 2007年11月(1)
- 2007年8月(1)
- 2007年7月(1)
2019-01-13 06:29
преступника, который ограбил ювелирный
магазин почти на миллион долларов, Олег
Колпаков работник частного охранного
предприятия сообщил, что на ювелирный салон
совершено разбойное нападение.
По словам Колпакова, в 20.10 в магазин пришел
мужчина кавказской внешности, который стал
угрожать продавцам пистолетом, разбил витрины
и забрал золотые ювелирные изделия. Бандит
пытался скрыться, но Олег Колпаков сумел его
задержать и сразу сообщил о случившемся в
милицию.