WannaCry勒索软件分析

2017-5-14 Nie.Meining Debug

大家都知道,昨天WannaCry勒索软件在一夜之间利用系统漏洞席卷全球,特别是在内网和专网中,通过攻击445端口(蠕虫性质)大肆传播,造成了巨大数据损失。我也凑个热闹,找到一批样本上传金刚分析系统(http://tcasoft.com/),看看效果。

其中比较典型的分为两类,一类就是昨天大家新闻中看到的,访问某个超长的域名,如果存在就放弃攻击。如图:

2.png

1.png

其实这个“域名开关”并不完全可以保平安。还有一类样本一上来就搞破坏,并不会探测域名。如某样本的分析报告:

http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=22bfa9109ab9d405af4188867620c730&sk=60036875

下面对该报告简单解读。

首先观察运行过程截图可以看出,样本执行初期没有任何引人注意的表现,当桌面被替换、前台弹出提示信息时,一切都为时已晚,用户的文件就已经被加密,要想恢复文件内容只能向攻击者提供的地址汇入300美元比特币了。如下图所示。

3.png

4.jpg


观察行为列表可以看到,样本释放了大量可执行程序以及bat、vbs等恶意脚本,并借助这些程序、脚本和Windows自带的系统工具共同完成攻击目的。例如通过attrib系统工具实现自我隐藏、利用icacls工具获取文件操作权限、利用vssadmin工具破坏系统还原功能、利用reg程序导入注册表实现自启动等。如下图所示。

5.png

6.png

7.png


一切就绪后,样本开始重头戏——文件加密。在行为列表中可以看到大量与文件操作相关的行为,包括修改文件属性、读写文件、修改文件创建时间、文件重命名等。这些正是WannaCry对用户文件进行加密的详细过程。如下图所示。

8.png


进一步观察样本的详细行为数据可以发现,攻击者其实会针对每个文件生成一个扩展名为WNCRYT的临时文件,在加密完成并设置好文件创建时间后,会将该临时文件重命名为WNCRY文件。如下图所示。

9.png


具体这些被加密后的文件长什么样呢?只需查看分析报告里的“中间文件”就可以看到。如下图所示,攻击者感兴趣的文件主要包括doc、xls、jpg等各种文档和图片,被加密后文件头部均变成了“WANACRY!”标识。

a.png


除了以上主机破坏行为以外,样本运行过程中还能观测到大量的网络行为,连接地址包括美国、德国、奥地利等多个国家,同时会尝试连接一个很长的域名。如图所示。

b.png

c.png


由于金刚系统在分析过程中,引擎并未连接真实互联网,因此网络行为我就没有展开分析了。其实该样本还有不少技术细节上文并未展开介绍,大家若有兴趣欢迎查看分析报告自行研究。

评论:

Henrynib
2020-11-11 10:47
Attenzione! Robot finanziario può portare milioni!
Link - - https://goo-gl.ru.com/3EQ
Henrynib
2020-11-11 09:30
Renditi ricco in futuro usando questo robot finanziario.
Link - https://moneylinks.page.link/6SuK
Henrynib
2020-11-11 07:11
Non hai competenze finanziarie? Lasciate Robot fare soldi per voi.
Link - https://goo-gl.ru.com/3EQ
cpm homework help
2020-11-09 15:14
You made your point pretty clearly.. essay about helping others https://ouressays.com how to write a community service essay
Henrynib
2020-11-07 16:59
Fidati del Bot finanziario per diventare ricco.
Link - - https://goo-gl.ru.com/3EQ
Henrynib
2020-11-07 13:27
Solo un clic può crescere il vostro denaro davvero veloce.
Link - - https://goo-gl.ru.com/3EQ
Henrynib
2020-11-07 12:36
Acquista tutto quello che vuoi guadagnare soldi online.
Link - - https://goo-gl.ru.com/3EQ
Henrynib
2020-11-07 08:36
Robot finanziario continua a portare i soldi mentre si dorme.
Link - https://goo-gl.ru.com/3EQ
Teresanax
2020-11-05 09:57
Передовые технологии в Донецке!
Возвращай с каждой своей покупки часть потраченных денег обратно.
Регистрируйся бесплатно и экономь с Кэшбэком от БонСити.
Henrynib
2020-11-05 00:32
Make thousands every week working online here.
Link - https://cutt.ly/agDmla9
write my essay
2020-11-04 17:52
Appreciate it. Loads of knowledge.
writing essays https://ouressays.com i need a essay written
Henrynib
2020-11-04 10:16
Hai bisogno di soldi? Il robot finanziario è la tua soluzione.
Link - http://www.google.com/url?q=%68%74%74%70%73%3A%2F%2F%68%64%72%65%64%74%75%62%65%33%2e%6d%6f%62%69%2F%62%74%73%6d%61%72%74%23%4f%66%48%6a%77%6a%50%41%4d%4c%6a%6a%7a%72%4e%6e%7a&sa=D&sntz=1&usg=AFQjCNEpRdhwKb-aA2gDqhfVXcbOJ0d85A
Henrynib
2020-11-04 02:16
Imparare a fare centinaia di spalle ogni giorno.
Link - http://www.google.com/url?q=%68%74%74%70%73%3A%2F%2F%68%64%72%65%64%74%75%62%65%33%2e%6d%6f%62%69%2F%62%74%73%6d%61%72%74%23%4f%58%66%4f%48%47%75%72%53%54%42%6f%61%70%71%69%51&sa=D&sntz=1&usg=AFQjCNH8ATZBKguJCKA73J1nFeZTWy9xSA
Henrynib
2020-11-02 17:06
Fai migliaia di dollari. Robot finanziario vi aiuterà a farlo!
Link - - http://www.google.com/url?q=%68%74%74%70%73%3A%2F%2F%68%64%72%65%64%74%75%62%65%33%2e%6d%6f%62%69%2F%62%74%73%6d%61%72%74%23%4f%45%47%64%58%63%54%63%6e%73%51%54%45%70%49%42%4f&sa=D&sntz=1&usg=AFQjCNGGhj9czQC0t01Oih4O6m6lNGnBcA
Henrynib
2020-11-01 10:30
Let the Robot bring you money while you rest.
Link - http://www.google.com/url?q=%68%74%74%70%73%3A%2F%2F%68%64%72%65%64%74%75%62%65%33%2e%6d%6f%62%69%2F%62%74%73%6d%61%72%74%23%70%53%55%43%57%6b%4e%57%69%7a%44%63%53%6f%47%54%4d&sa=D&sntz=1&usg=AFQjCNHPFo5NQpTwh2v9dEoew9NQxmJ_sw

发表评论:

Powered by emlog