WannaCry勒索软件分析

2017-5-14 Nie.Meining Debug

大家都知道,昨天WannaCry勒索软件在一夜之间利用系统漏洞席卷全球,特别是在内网和专网中,通过攻击445端口(蠕虫性质)大肆传播,造成了巨大数据损失。我也凑个热闹,找到一批样本上传金刚分析系统(http://tcasoft.com/),看看效果。

其中比较典型的分为两类,一类就是昨天大家新闻中看到的,访问某个超长的域名,如果存在就放弃攻击。如图:

2.png

1.png

其实这个“域名开关”并不完全可以保平安。还有一类样本一上来就搞破坏,并不会探测域名。如某样本的分析报告:

http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=22bfa9109ab9d405af4188867620c730&sk=60036875

下面对该报告简单解读。

首先观察运行过程截图可以看出,样本执行初期没有任何引人注意的表现,当桌面被替换、前台弹出提示信息时,一切都为时已晚,用户的文件就已经被加密,要想恢复文件内容只能向攻击者提供的地址汇入300美元比特币了。如下图所示。

3.png

4.jpg


观察行为列表可以看到,样本释放了大量可执行程序以及bat、vbs等恶意脚本,并借助这些程序、脚本和Windows自带的系统工具共同完成攻击目的。例如通过attrib系统工具实现自我隐藏、利用icacls工具获取文件操作权限、利用vssadmin工具破坏系统还原功能、利用reg程序导入注册表实现自启动等。如下图所示。

5.png

6.png

7.png


一切就绪后,样本开始重头戏——文件加密。在行为列表中可以看到大量与文件操作相关的行为,包括修改文件属性、读写文件、修改文件创建时间、文件重命名等。这些正是WannaCry对用户文件进行加密的详细过程。如下图所示。

8.png


进一步观察样本的详细行为数据可以发现,攻击者其实会针对每个文件生成一个扩展名为WNCRYT的临时文件,在加密完成并设置好文件创建时间后,会将该临时文件重命名为WNCRY文件。如下图所示。

9.png


具体这些被加密后的文件长什么样呢?只需查看分析报告里的“中间文件”就可以看到。如下图所示,攻击者感兴趣的文件主要包括doc、xls、jpg等各种文档和图片,被加密后文件头部均变成了“WANACRY!”标识。

a.png


除了以上主机破坏行为以外,样本运行过程中还能观测到大量的网络行为,连接地址包括美国、德国、奥地利等多个国家,同时会尝试连接一个很长的域名。如图所示。

b.png

c.png


由于金刚系统在分析过程中,引擎并未连接真实互联网,因此网络行为我就没有展开分析了。其实该样本还有不少技术细节上文并未展开介绍,大家若有兴趣欢迎查看分析报告自行研究。

评论:

korpusPem
2019-08-01 17:24
корпусная мебель каталог цена   http://vesta-2.ru/kuhonnaya-mebel/divan-na-dva-mesta-tkan.html  купить кухонный уголок от производителя недорого в москве
korpusPem
2019-07-31 08:22
корпусная мебель в гостиную купить   https://vesta-2.ru/korpusnaya-mebel/prihozhie/prihozhaya-5-modul-2.html  кухонный уголок этюд купить в москве интернет магазин
Aarontic
2019-07-31 02:16
http://advairdiskus.us.org/ - advair diskus online
MichaelZop
2019-07-31 01:44
Trounce clips PTHC CP

http://freetexthost.com/l3biymr3iu

freetexthost.com/l3biymr3iu

http://phpm.ru/u/20aab

phpm.ru/u/20aab
trantyRurdyspusty
2019-07-30 08:02
sildenafil drug and food interactions http://buyscialisrx.com/ buy generic cialis, comprar cialis 40 mg
Lidaknoca
2019-07-30 01:46
is 10mg tablets cheap

     82f8 long side taking is term
prooknann
2019-07-28 03:19
http://prooknann.ru/Profilaktika.html - установка пластиковых окон
VidioBub
2019-07-27 23:24
bfxxx
http://www.bfxxx.mobi
http://www.bfxxx.mobi - bfxxx
Joannalmop
2019-07-27 08:17
http://www.stevalgraphic.it/?option=com_k2&view=itemlist&task=user&id=1954
http://movingforwardarlington.org/groups/online-casino-games-real-money-84938
https://www.gigvu.com/groups/casino-real-money-97895
http://www.schoolpigeon.uk/forums/topic/online-casino-real-money-92935/
http://advancedbarbellsystems.com/groups/online-slots-real-money-81644
http://kampai.org/groups/online-casino-games-real-money-92847
http://www.musicapromo.net/groups/real-money-casino-99362
http://ravanhami.com/forums/user/lennubul1982
http://isshinryuacademy.com/forums/user/cessare1983
http://carouse.life/groups/online-casino-games-real-money-84008
https://picmeinternational.co.za/groups/online-casino-real-money-84442
http://www.classifiedlane.com/forums/user/neytifec1971
http://myboscorp.com/groups/casino-real-money-usa-87302
http://fetish-finder.net/groups/real-money-online-casino-81366
http://www.3rdheswall.org.uk/forums/user/dysprosu1983
http://blackinvestornetwork.com/groups/online-casino-real-money-usa-94187
https://www.foroswebgratis.com/groups/casino-real-money-usa-97877
http://www.salaser.org/groups/online-casino-real-money-82306
http://grossgrowth.com/forums/topic/online-casino-real-money-98713/
http://expresslanguagesonline.com/groups/real-money-casino-86683
JossaRof
2019-07-27 01:47
<a href=https://dedicatet.com/forums/ddos-stresser.51/>
Специалисты по безопасности всегда должны изучить множество инструментов, методов и концепций для анализа сложных угроз и текущих кибератак.
Здесь мы увидим некоторые из наиболее важных инструментов, книг, ресурсов, которые в основном используются для анализа вредоносных программ и обратного проектирования.
Шестнадцатеричный редактор
Шестнадцатеричный редактор (или двоичный редактор файлов или byteeditor) - это тип компьютерной программы, которая позволяет манипулировать основными двоичными данными, составляющими компьютерный файл. Имя ' hex 'происходит от’ hexadecimal': стандартный числовой формат для представления двоичных данных.</a>
Rannevknoca
2019-07-26 21:18
viagra vendita canada
Rannevknoca
2019-07-26 21:12
apotik yang jual is
Dennissaups
2019-07-26 19:53
Most annex сhildrens porn clips PTHC CP

http://freetexthost.com/l3biymr3iu

freetexthost.com/l3biymr3iu

https://my.su/6es1m

my.su/6es1m
pixelPem
2019-07-26 07:40
преимущества ledbag   https://pixel-led-bag.ru/led-bag/led-ryukzak-tretego-pokoleniya-s-gprs-datchikom/
JamesTag
2019-07-23 21:08
bfxxx
http://www.bfxxx.mobi

发表评论:

Powered by emlog