文档章节

关于“全球遭受网络勒索攻击”WannaCry2.0病毒软件图文分析

Liberxue
 Liberxue
发布于 2017/05/14 02:20
字数 1690
阅读 4884
收藏 54
点赞 5
评论 17

我是技术一般般码农 若分析的不到位 错误 请各位大神指出 分析此软件只是出去安全角度研究;请勿非法使用,工具就不公开,大家有兴趣逛逛我博客哈 liberxue博客:本文请勿转载by liberxue

参考来源:

https://gist.github.com/msuiche/691e52fd5f0d8b760080640687e23d60 https://github.com/countercept/doublepulsar-detection-script/blob/master/detect_doublepulsar_smb.pylinberxue—WannaCry2.0分析 https://gist.github.com/msuiche/691e52fd5f0d8b760080640687e23d60

linberxue—WannaCry2.0分析

补一句 加密使用 AES/RSA

输入图片说明 数据包和检查非常类似于通过反向写入的DOUBLEPULSAR检测工具

###关于WannaCry利用MS17-010:

恶意软件正在使用MS17-010漏洞进行分发。这是一个具有远程代码执行选项的SMB- 详细信息:Microsoft Security Bulletin MS17-010 - Critical。漏洞代码在多个站点上可用,包括[:MS17-010](https : //github.com/RiskSense-Ops/MS17-010/blob/master/exploits/eternalblue/ms17_010_eternalblue.rb

这个漏洞也被称为方程组的ETERNALBLUE漏洞利用,几周前由Shadow Brokers发布的FuzzBunch工具包的一部分。

使用MS17-010,攻击者只能使用一个漏洞利用系统权限进行](http://)远程访问,这意味着两个步骤(远程执行代码+本地特权升级组合)仅使用SMB协议中的一个错误。分析Metasploit中的漏洞代码,这是一种用于黑客攻击的着名工具,漏洞利用'KI_USER_SHARED_DATA',它具有固定的内存地址(32位Windows上为0xffdff000),以便稍后复制有效负载并将控制权转移给它。

通过远程获取对具有系统特权的受害者PC的控制权,无需任何用户操作,攻击者可以通过控制该网络内的一个系统来控制本地网络中的恶意软件(控制所有不受此漏洞影响的系统),以及在这种情况下,一个系统将在这种情况下传播ransomware,所有这些Windows系统都将易受攻击,而不是修补MS17-010。

运行过程

linberxue—WannaCry2.0分析 通过使用命令行命令,卷影子副本和备份将被删除:

Cmd / c vssadmin delete shadows / all / quiet&wmic shadowcopy delete&bcdedit / set {default} bootstatuspolicy ignoreallfailures&bcdedit / set {default} recoveryenabled no&wbadmin delete catalog -quiet

Ransomware将自己写入文件名为“tasksche.exe”的“ProgramData”文件夹中的随机字符文件夹中,或者在文件名为“mssecsvc.exe”和“tasksche.exe”的C:\ Windows文件夹中。

简单栗子哈:


C:\ ProgramData \ abc \ tasksche.exe

C:\ ProgramData \ 360 \ tasksche.exe

C:/ProgramData/wps/tasksche.exe

使用批处理脚本进行操作:

批量执行.bat


Content of Batch-file (fefe6b30d0819f1a1775e14730a10e0e)

echo off

echo SET ow = WScript.CreateObject(“WScript.Shell”)> m.vbs

echo SET om = ow.CreateShortcut(“C:\

WanaDecryptor

.exe.lnk”)>> m.vbs

echo om.TargetPath = “C:\

WanaDecryptor

.exe”>> m.vbs

echo om.Save>> m.vbs

cscript.exe //nologo m.vbs

del m.vbs

del /a %0

Content of ‘M.vbs’

SET ow = WScript.CreateObject(“WScript.Shell”)

SET om = ow.CreateShortcut(“C:\

WanaDecryptor

.exe.lnk”)

om.TargetPath = “C:\

WanaDecryptor

om.Save

SNORT规则:

alert smb any any -> $HOME_NET any (msg:”ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)”; flow:to_server,established; content:”|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|”; depth:16; fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)

alert smb $HOME_NET any -> any any (msg:”ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response”; flow:from_server,established; content:”|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|”; depth:16; fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)

Sans的snort规则:

alert tcp $HOME_NET 445 -> any any (msg:”ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response”; flow:from_server,established; content:”|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|”; depth:16; fast_pattern; content:”|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|”; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:2;)

与Wana Decrypt0r / WanaCrypt0r相关联的文件:

[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@WanaDecryptor@.exe
[Installed_Folder]\@WanaDecryptor@.exe.lnk
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe

与Wana Decrypt0r / WanaCrypt0r相关联的注册表项:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random]	"[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd	[Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper	"[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"

Wana的网络通讯Decrypt0r / WanaCrypt0r:

gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

Tor端点从配置文件恢复的地址:

gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
软件还会下载tor浏览器的0.2.9.10版本:https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

Ransomware通过使用以下命令授予对所有文件的完全访问权限:

ransomware的文件大小为3.4 MB(3514368 bytes)

dropper 从其资源(XIA / 2058)中提取包含赎金的密码(“WNcry @ 2ol7”)存档。

付款地址

赎金会使用3个不同的地址接收付款:


115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

若果有兴趣查看多少付款 链接: Bitcoin Address 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw Bitcoin Address 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 Bitcoin Address 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

分析图

![分析赎金]

g  - 此文件夹包含描述赎金器不同说明的RTF。共计28种语言。
b.wnry  - BMP图像用作恶意软件替代的背景图像。
c.wnry  - 包含目标地址的配置文件,还包括tor通信端点信息。
s.wnry  - Tor客户端与上述端点进行通信。
u.wnry  - ransom-ware的UI界面,包含通信例程和密码验证(目前正在分析)
t.wnry  - “WANACRY!”文件 - 包含默认键

WannaCry2.0图片

r.wnry  - 包含付款指示的应用程序使用的问答文件 taskdl.exe / taskse.exe - 付款指示图片说明

加密过程

以下是由赎金加密的179种不同类型的文件的列表。


- “.doc” 
- “.docx” 
- “.docb” 
- “.docm” 
- “.dot” 
- “.dotm” 
- “.dotx” 
- “.xls” 
- “.xlsx” 
- “.xlsm” 
- “.xlsb” 
- “.xlw” 
- “.xlt” 
- “.xlm” 
- “.xlc” 
- “.xltx” 
- “.xltm” 
- “.ppt” 
- “.pptx” 
- “.pptm” 
- “.pot” 
- “.pps” 
- “.ppsm” 
- “.ppsx” 
- “.ppam” 
- “.potx” 
- “.potm” 
- “.pst”
- “.ost” 
- “.msg” 
- “.eml” 
- “.edb” 
- “.vsd” 
- “.vsdx” 
- “.txt” 
- “.csv” 
- “.rtf” 
- “.123” 
- “.wks” 
- “.wk1” 
- “.pdf” 
- “.dwg” 
- “.onetoc2” 
- “.snt” 
- “.hwp” 
- “.602” 
- “.sxi” 
- “.sti” 
- “.sldx” 
- “.sldm” 
- “.sldm” 
- “.vdi” 
- “.vmdk” 
- “.vmx” 
- “.gpg” 
- “.aes”
- “.ARC” 
- “.PAQ” 
- “.bz2” 
- “.tbk” 
- “.bak” 
- “.tar” 
- “.tgz” 
- “.gz” 
- “.7z” 
- “.rar” 
- “.zip” 
- “.backup” 
- “.iso” 
- “.vcd” 
- “.jpeg” 
- “.jpg” 
- “.bmp” 
- “.png” 
- “.gif” 
- “.raw” 
- “.cgm” 
- “.tif” 
- “.tiff” 
- “.nef” 
- “.psd” 
- “.ai” 
- “.svg” 
- “.djvu”
- “.m4u” 
- “.m3u” 
- “.mid” 
- “.wma” 
- “.flv” 
- “.3g2” 
- “.mkv” 
- “.3gp” 
- “.mp4” 
- “.mov” 
- “.avi” 
- “.asf” 
- “.mpeg” 
- “.vob” 
- “.mpg” 
- “.wmv” 
- “.fla” 
- “.swf” 
- “.wav” 
- “.mp3” 
- “.sh” 
- “.class” 
- “.jar” 
- “.java” 
- “.rb” 
- “.asp” 
- “.php” 
- “.jsp”
- “.brd” 
- “.sch” 
- “.dch” 
- “.dip” 
- “.pl” 
- “.vb” 
- “.vbs” 
- “.ps1” 
- “.bat” 
- “.cmd” 
- “.js” 
- “.asm” 
- “.h” 
- “.pas” 
- “.cpp” 
- “.c” 
- “.cs” 
- “.suo” 
- “.sln” 
- “.ldf” 
- “.mdf” 
- “.ibd” 
- “.myi” 
- “.myd” 
- “.frm” 
- “.odb” 
- “.dbf” 
- “.db”
- “.mdb” 
- “.accdb” 
- “.sql” 
- “.sqlitedb” 
- “.sqlite3” 
- “.asc” 
- “.lay6” 
- “.lay” 
- “.mml” 
- “.sxm” 
- “.otg” 
- “.odg” 
- “.uop” 
- “.std” 
- “.sxd” 
- “.otp” 
- “.odp” 
- “.wb2” 
- “.slk” 
- “.dif” 
- “.stc” 
- “.sxc” 
- “.ots” 
- “.ods” 
- “.3dm” 
- “.max” 
- “.3ds”
- “.uot” 
- “.stw” 
- “.sxw” 
- “.ott” 
- “.odt” 
- “.pem” 
- “.p12” 
- “.csr” 
- “.crt” 
- “.key” 
- “.pfx” 
- “.der”

linberxue—WannaCry2.0分析

© 著作权归作者所有

共有 人打赏支持
Liberxue
粉丝 31
博文 10
码字总数 7658
作品 2
朝阳
高级程序员
加载中

评论(17)

shitalpig
shitalpig
能中病毒的也是傻逼,开启用户管理最高级,,exe 应用根本不能自动运行
piyoma
piyoma
这次事件为程序员争光了
谢浩哲
谢浩哲
突然发现没有.tex。看来用LaTeX还是很安全的……
DC梦幻岛
DC梦幻岛
建议各公司电脑换成linux或者mac os(手动滑稽)
FPE
FPE
理论上只要找到加密函数hook一下就能搞到密码,应该就能写个解密工具(前提是这勒索软件不是用rsa加密文件)
beelzebub
beelzebub
还是mac好呀
binggan
binggan
445端口,是什么意思? 我理解成,在数据包某个bitbyte就是445,然后,操作系统根据这个445和445的协议,把后面一段数据包, 分发到一定的地方,运行? 这里就不懂了? 请指教!
默默--小
hiahiahia 有一个办法,把文件改成其他的后缀不就可以了吗:smile:
paddy235
paddy235
别用windows,用linux就没这些烦恼
921977939qqcom
921977939qqcom
加密源码用git还原啊
持续更新 ing | Wannacry 勒索病毒专题

勒索软件遍地开花,5.12“永恒之蓝”突然降临,迅速波及全网,世界陷入一片大乱,企业和个人都纷纷“中枪”。WannaCry在过去两天内已经在全球99个国家和地区超过百万台电脑受到攻击,俄罗斯、...

DJY1992 ⋅ 2017/05/15 ⋅ 0

WannaCry 2.0 升级再来,这一次是 Windows 系统,下一次可能就是 APP 的客户端和服务端!

从5月12日开始爆发,勒索病毒的攻势愈演愈烈,目前全球至少一百五十个国家地区受到此病毒攻击,国内先是校园网大面积感染,进而大量企业内网遭受攻击,甚至有公安网络也未能幸免,目前影响多...

蒲公英开发者服务平台 ⋅ 2017/05/16 ⋅ 0

为何这次勒索病毒肆虐全球?打游戏的同学们要背锅...

近日,全球近百个国家和地区都有电脑系统遭受一个名为WannaCry的病毒攻击,被攻击者被要求支付比特币才能解锁。 近日,全球近百个国家和地区都有电脑系统遭受一个名为WannaCry的病毒攻击,被...

小小屋主 ⋅ 2017/05/24 ⋅ 0

黑客教父龚蔚:是谁打开了潘多拉的魔盒

目前,勒索病毒WannaCry还在继续蔓延,而且尚无针对病因的解决方案。 今日上午,密切关注病毒事件的黑客教父龚蔚(Goodwell)发来意见函,不仅从原理角度对勒索病毒WannaCry作了深入浅出地介...

玄学酱 ⋅ 03/30 ⋅ 0

亚信安全特邀出席2016首届国际反病毒大会

2016年9月22日-23日, 由国家计算机病毒应急处理中心联合国家网络与信息安全信息通报中心共同举办的“2016首届国际反病毒大会”在天津召开。大会以“安全、共维、创新、共享”为主题,邀请数十...

玄学酱 ⋅ 05/11 ⋅ 0

WannaCry爆发一周年,500万台电脑惨遭勒索病毒攻击

  距离WannaCry勒索病毒大规模爆发已经过去了整整一年,但WannaCry之后,勒索病毒这个恶意软件大家族中的小分 支不断滋长蔓延,新型变种不断涌现,从2017年5月至2018年4月,近500万台电脑遭...

FreeBuf ⋅ 05/13 ⋅ 0

广东竟成勒索软件攻击最广区域?这份报告还有防勒指南

勒索软件是近两年来影响最大,也最受关注的网络安全威胁形式之一。攻击者通过电子邮件、网络渗透、蠕虫病毒等多种形式,向受害者的电脑终端或服务器发起攻击,加密系统文件并勒索赎金。 从 ...

又田 ⋅ 2017/12/22 ⋅ 0

勒索软件不赚钱后,黑客换了4种姿势

最近,雷锋网看到了好几则关于勒索软件(病毒)的消息,一是火绒说,国内勒索病毒疫情严重,每日十多万台电脑被感染。 好像很可怕的样子。。。 然后,腾讯和360说,他们发现了一款奇葩的勒索...

李勤 ⋅ 04/13 ⋅ 0

装机员教你如何防止轰动全球勒索病毒

这种勒索病毒名为WannaCry ,图中是安全研究人员的安全的计算机环境中进行演示。 5月13日,据BBC等媒体报道,全球多国爆发电脑勒索病毒,受害者电脑会被黑客锁定,提示支付价值相当于300美元...

下次123 ⋅ 2017/05/18 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Springboot2 之 Spring Data Redis 实现消息队列——发布/订阅模式

一般来说,消息队列有两种场景,一种是发布者订阅者模式,一种是生产者消费者模式,这里利用redis消息“发布/订阅”来简单实现订阅者模式。 实现之前先过过 redis 发布订阅的一些基础概念和操...

Simonton ⋅ 22分钟前 ⋅ 0

error:Could not find gradle

一.更新Android Studio后打开Project,报如下错误: Error: Could not find com.android.tools.build:gradle:2.2.1. Searched in the following locations: file:/D:/software/android/andro......

Yao--靠自己 ⋅ 昨天 ⋅ 0

Spring boot 项目打包及引入本地jar包

Spring Boot 项目打包以及引入本地Jar包 [TOC] 上篇文章提到 Maven 项目添加本地jar包的三种方式 ,本篇文章记录下在实际项目中的应用。 spring boot 打包方式 我们知道,传统应用可以将程序...

Os_yxguang ⋅ 昨天 ⋅ 0

常见数据结构(二)-树(二叉树,红黑树,B树)

本文介绍数据结构中几种常见的树:二分查找树,2-3树,红黑树,B树 写在前面 本文所有图片均截图自coursera上普林斯顿的课程《Algorithms, Part I》中的Slides 相关命题的证明可参考《算法(第...

浮躁的码农 ⋅ 昨天 ⋅ 0

android -------- 混淆打包报错 (warning - InnerClass ...)

最近做Android混淆打包遇到一些问题,Android Sdutio 3.1 版本打包的 错误如下: Android studio warning - InnerClass annotations are missing corresponding EnclosingMember annotation......

切切歆语 ⋅ 昨天 ⋅ 0

eclipse酷炫大法之设置主题、皮肤

eclipse酷炫大法 目前两款不错的eclipse 1.系统设置 Window->Preferences->General->Appearance 2.Eclipse Marketplace下载【推荐】 Help->Eclipse Marketplace->搜索‘theme’进行安装 比如......

anlve ⋅ 昨天 ⋅ 0

vim编辑模式、vim命令模式、vim实践

vim编辑模式 编辑模式用来输入或修改文本内容,编辑模式除了Esc外其他键几乎都是输入 如何进入编辑模式 一般模式输入以下按键,均可进入编辑模式,左下角提示 insert(中文为插入) 字样 i ...

蛋黄Yolks ⋅ 昨天 ⋅ 0

大数据入门基础:SSH介绍

什么是ssh 简单说,SSH是一种网络协议,用于计算机之间的加密登录。 如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码...

董黎明 ⋅ 昨天 ⋅ 0

web3j教程

web3j是一个轻量级、高度模块化、响应式、类型安全的Java和Android类库提供丰富API,用于处理以太坊智能合约及与以太坊网络上的客户端(节点)进行集成。 汇智网最新发布的web3j教程,详细讲解...

汇智网教程 ⋅ 昨天 ⋅ 0

谷歌:安全问题机制并不如你想象中安全

腾讯科技讯 5月25日,如今的你或许已经对许多网站所使用的“安全问题机制”习以为常了,但你真的认为包括“你第一个宠物的名字是什么?”这些问题能够保障你的帐户安全吗? 根据谷歌(微博)安...

问题终结者 ⋅ 昨天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部