勒索病毒WannaCry深度技術分析—— 詳解傳播、感染和危害細節
一、綜述
5月12日,全球爆發的勒索病毒WannaCry藉助高危漏洞“永恆之藍”(EternalBlue)在世界範圍內爆發,據報道包括美國、英國、中國、俄羅斯、西班牙、義大利、越南等百餘個國家均遭受大規模攻擊。我國的許多行業機構和大型企業也被攻擊,有的單位甚至“全軍覆沒”,損失之嚴重為近年來所罕見。
本報告將從傳播途徑、危害方式和結果、受威脅使用者群等角度,逐一釐清這個惡性病毒方方面面的真相,用以幫助大家認識、解決該病毒,防範未來可能出現的變種病毒,同時澄清一些謠傳和謊言。
病毒攻擊行為和結果
遭受
WannaCry病毒
侵害的電腦,其檔案將被加密鎖死,慣常來說,受害使用者支付贖金後可以獲得解密金鑰,恢復這些檔案。但是根據火絨工程師的分析,遭受WannaCry攻擊的使用者可能會永遠失去這些檔案。
WannaCry病毒存在一個致命缺陷,即病毒作者無法明確認定哪些受害者支付了贖金,因此很難給相應的解密金鑰,所以使用者即使支付了贖金,也未必能順利獲得金鑰該電腦系統及檔案依舊無法得到恢復。
至於網上流傳的各種“解密方法”,基本上是沒用的,請大家切勿聽信謊言,以防遭受更多財產損失。一些安全廠商提供的“解密工具”,其實只是“檔案恢復工具”,可以恢復一些被刪除的檔案,但是作用有限。
因為病毒是生成加密過的使用者檔案後再刪除原始檔案,所以存在透過檔案恢復類工具恢復原始未加密檔案的可能。但是因為病毒對檔案系統的修改操作過於頻繁,導致被刪除的原始檔案資料塊被覆蓋,致使實際恢復效果有限。且隨著系統持續執行,恢復類工具恢復資料的可能性會顯著降低。
傳播途徑和攻擊方式
據火絨實驗室技術分析追溯發現,該病毒分
蠕蟲
部分及勒索病毒部分,前者用於傳播和釋放病毒,後者攻擊使用者加密檔案。
其實,
蠕蟲病毒
是一種常見的計算機病毒。透過網路和電子郵件進行傳播,具有自我複製和傳播迅速等特點。此次病毒製造者正是利用了前段時間美國國家安全域性(NSA) 洩漏的Windows SMB遠端漏洞利用工具“永恆之藍”來進行傳播的。
據悉,蠕蟲程式碼執行後先會連線域名:hxxp://
http://www。
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea。com
如果該域名可以成功連線,則直接停止。而如果上述域名無法訪問,則會安裝病毒服務,在區域網與外網進行傳播。
但是無論這個“神奇開關”是否開啟,該病毒都會攻擊使用者,鎖死檔案。另外,這個開關程式很容易被病毒製造者去除,因此未來可能出現沒有開關的變種病毒。
易受攻擊使用者群
目前看來,該病毒的受害者大都是行業機構和大型企業,網際網路個人使用者受感染報告很少。下面我們從作業系統和網路結構兩個角度,來說明容易受到攻擊的使用者群。
首先,該病毒只攻擊Windows系統的電腦,幾乎所有的Windows系統如果沒有打補丁,都會被攻擊。而Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8。1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 版本,使用者如果開啟了自動更新或安裝了對應的更新補丁,可以抵禦該病毒。
Windows10是最安全的,由於其系統是預設開啟自動更新的,所以不會受該病毒影響。同時,Unix、Linux、Android等作業系統,也不會受到攻擊。
同時,目前這個病毒透過共享埠傳播同時在公網及內網進行傳播,
直接暴露在公網上且沒有安裝相應作業系統補丁的計算機有極大風險會被感染
,而透過路由撥號的個人和企業使用者,則不會受到來自公網的直接攻擊。
火絨將持續追殺WannaCry
目前,對抗“蠕蟲”勒索軟體攻擊的行動仍未結束,在此,火絨安全專家提醒廣大使用者無需過度擔心,“火絨安全軟體”已迅速採取措施,完成緊急升級,透過
火絨
官網下載軟體,升級到最新版本即可防禦、查殺該病毒。
自5月12日,WannaCry病毒一出,各機構和使用者人心惶惶,草木皆兵,日前更是出現了2。0新變種等聳人聽聞的言論。截止到今日,火絨已經收集到的所謂的“WannaCry”最新版本的“變種”,但透過對比分析發現,該“變種“有明顯的人為修改痕跡,是好事者在造謠蹭熱度。
火絨實驗室
可以負責任地告訴大家,目前還沒有出現新版本變種。
而日後病毒是否會變異出現新“變種”?火絨實驗室將持續跟蹤新的病毒變種,一旦遇到新變種會隨時升級產品。火絨產品預設自動升級,請廣大使用者放心使用,無需做任何設定。內網使用者透過外網下載火絨產品升級到最新版本,然後覆蓋安裝內網電腦即可。
此次勒索病毒WannaCry傳播速度快,影響範圍廣,是網際網路歷史上所罕見的一次“網路安全事故”。對安全廠商而言,是一次極大的考驗,“安全”重回主流勢在必行,同時也促進了全社會對網路安全意識的提升。
二、樣本分析
該病毒分為兩個部分:
(1) 蠕蟲部分,用於病毒傳播,並釋放出勒索病毒。
(2) 勒索病毒部分,加密使用者檔案索要贖金。
2.1 蠕蟲部分詳細分析:
2。1。1 蠕蟲程式碼執行後先會連線域名:hxxp://
http://www。
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea。com
如果該域名可以成功連線,則直接退出。
關於這個“Kill Switch”的存在網路上眾說紛紜,我們認為相對可靠的解釋是:開關的存在是為了檢測安全軟體沙箱。這種手法多見於惡意程式碼混淆器,但是除了看到幾個人為修改“Kill Switch”的樣本外,該病毒並沒有批次生成、混淆的跡象。另外,如果真是為了對抗安全軟體沙箱,和以往對抗沙箱的樣本比起來,這段程式碼過於簡單,而且出現的位置也過於明顯。所以,放置這樣一個“低階”的“Kill Switch”具體出於何種原因,恐怕只有惡意程式碼作者能夠解釋了。
2。1。2 如果上述域名無法訪問,則會安裝病毒服務,服務的
二進位制
檔案路徑為當前程序檔案路徑,引數為:-m security,並啟動服務。
2。1。3 釋放資源到C:\WINDOWS目錄下的tasksche。exe(該程式是勒索病毒),並將其啟動。
2。1。4 蠕蟲病毒服務啟動後,會利用MS17-010漏洞傳播。傳播分為兩種渠道,一種是
區域網
傳播,另一種是公網傳播。如下圖所示:
區域網傳播主要程式碼如下圖:
病毒會根據使用者計算機內網IP,生成覆蓋整個區域網網段表,然後迴圈依次嘗試攻擊。相關程式碼如下:
公網傳播主要程式碼如下圖,病毒會隨機生成IP地址,嘗試傳送攻擊程式碼。
SMB漏洞攻擊資料包資料,如下圖所示:
Worm病毒的PE檔案中包含有兩個動態庫檔案,是攻擊模組的Payload,分別是:x86版本的payload,大小0x4060和x64版本的payload,大小0xc8a4。
兩個Payload都是隻有資源目錄結構沒有具體資源的無效PE
動態庫檔案
。病毒在攻擊前,會構造兩塊記憶體,在記憶體中分別組合Payload和開啟Worm病毒自身,湊成有效攻擊Payload,程式碼如下圖所示:
有效攻擊Payload模型如下:
完整的攻擊Payload的資源如下圖,資源中的第一個DWORD是病毒大小,之後就是病毒本身。
然後使用MS17-010漏洞,透過APC方式注入動態庫到被攻擊計算機的Lsass。exe,並執行Payload動態庫的匯出函式PlayGame,該函式非常簡單,功能就是釋放資源“W”到被攻擊計算機“C:Windows\mssecsvc。exe”,並執行,如下圖所示:
火絨劍監控被攻擊計算機的如下:
被攻擊的計算機包含病毒的完整功能,除了會被勒索,還會繼續使用MS17-010漏洞進行傳播,這種傳播呈幾何級向外擴張,這也是該病毒短時間內大規模爆發的主要原因。如下圖:
目前,攻擊內網IP需要使用者計算機直接暴露在公網且沒有安裝相應作業系統補丁的計算機才會受到影響,因此那些透過路由撥號的個人使用者,並不會直接透過公網被攻擊。如果企業網路也是透過總路由出口訪問公網的,那麼企業網路中的電腦也不會受到來自公網的直接攻擊。但是,現實中一些機構的網路存在直接連線公網的電腦,且內部網路又類似一個大區域網,因此一旦暴露在公網上的電腦被攻破,就會導致整個區域網存在被感染的風險。
2.2 勒索病毒部分詳細分析:
2。2。1 該程式資源中包含帶有密碼的壓縮檔案,使用密碼“WNcry@2ol7”解壓之後釋放出一組檔案:
a)
taskdl。exe
,刪除臨時目錄下的所有“*。WNCRYT”副檔名的臨時檔案。
b)
taskse。exe
,以任意session執行指定程式。
c)u。wnry,解密程式,釋放後名為@WanaDecryptor@。exe。
d)b。wnry勒索圖片資源。
e)s。wnry,包含洋蔥路由器元件的壓縮包。病毒作者將勒索伺服器搭建在”暗網”,需要透過tor。exe和伺服器進行通訊。
f)c。wnry,洋蔥路由器地址資訊。
g)t。wnry,解密後得到加密檔案主要邏輯程式碼。
h)r。wnry,勒索Q&A。
2。2。2 透過命令列修改所有檔案的許可權為完全訪問許可權。命令列如下:
icacls 。 /grant Everyone:F /T /C /Q
2。2。3 解密t。wnry檔案資料得到含有主要加密
邏輯程式碼
的動態庫,透過其模擬的LoadLibrary和GetProcAddress函式呼叫該動態庫中的匯出函式執行其加密邏輯。
呼叫勒索動態庫程式碼,如下圖所示:
勒索主邏輯執行,先會匯入一個存放在映象中的RSA公鑰,之後呼叫CryptGenKey生成一組RSA演算法的Session key。之後將這組Key的公鑰透過CryptExportKey匯出,再寫入到00000000。pky檔案中。將Session key中的私鑰用剛匯入RSA公鑰進行加密,存放在00000000。eky如下圖所示:
如果遍歷到的副檔名在欲加密的副檔名列表中,如下圖所示:
則會將當前
檔案路徑
加入到檔案操作列表中,在遍歷檔案結束後一併進行檔案操作。程式碼如下圖:
對於每個需要加密的檔案,都會呼叫CryptGenRadom隨機生成AES金鑰,之後使用Session Key中的RSA公鑰對AES金鑰進行加密,存放在加密後的資料檔案頭中,之後將原始檔案資料用該AES金鑰進行加密。如下圖所示:
整體加密流程,如下圖所示:
因為病毒是生成加密過的使用者檔案後再刪除原始檔案,所以存在透過檔案恢復類工具恢復原始未加密檔案的可能。但是因為病毒對檔案系統的修改操作過於頻繁,導致被刪除的原始檔案資料塊被覆蓋,致使實際恢復效果有限。且隨著系統持續執行,恢復類工具恢復資料的可能性會顯著降低。
三、關於“WannaCry”新變種的說明
早期版本的“WannaCry”病毒存在“Kill Switch”開關,也就是病毒中檢測“
http://www。
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea。com
”這個網址是否可以訪問的程式碼片段,如果可以訪問則不會利用“
永恆之藍
”漏洞繼續傳播。
現在這個域名已經被註冊,這個版本“WannaCry”傳播功能等於已經關閉,因為這段程式碼本身沒有加密,所以很可能會被得到改病毒樣本的“駭客”修改,放開開關,使病毒繼續傳播。
截止到今日,火絨已經收集到的所謂“WannaCry”最新版本的“變種”,正如我們推測的一樣,網上兩個“熱炒“變種, SHA256分別為:
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
c8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
和早期的“WannaCry”相比
SHA256:24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
有明顯人為修改痕跡,如下圖所示:
這個樣本僅僅是
16進位制
修改了兩個位元組,讓”Kill Switch“失效,這個修改不會影響火絨的檢測。
另外一個樣本除了修改了”Kill Switch“域名,還修改了病毒攜帶勒索模組。經過測試勒索程式碼已經被修改壞了,無法執行。如下圖:
除了以上兩個樣本,火絨還截獲另一個人為修改的” WannaCry “樣本,同樣被修改的不能執行,火絨依然可以檢測。SHA256如下:
99c0d50b088df94cb0b150a203de6433cb97d4f8fd3b106ce442757c5faa35c4
截止到本篇分析完成火絨還沒截獲所謂關閉“Kill Switch”開關的病毒樣本。
四、附錄
樣本SHA256
Worm
24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
C8d816410ebfb134ee14d287a34cea9d34d627a2c5e16234ab726cf9fde47ec6
Ransom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