1 .样品概述
背景
Wannacry(Wannadecryptor )是一款“蠕虫型”恐吓病毒软件,大小为3.3MB,是不法分子利用NSA(Nationalsecurityagency )泄露的危险漏洞“外部蓝牙”
1.1示例信息
病毒名称: Trojan.Ransom.WannaCryptor.H
所属:木马/蠕虫/恐吓
MD 5:73095 b 7a 1a 52 aa 072 de 7d b2d A8 ff 0496
sha 133604 d 28112 af e26 a1 f 885 a F6 e 2e6c 0365 e 1273 f 48 d 3
CRC32: 783B9278
1.2测试环境和工具
WMware Win7 32第32名火绒剑IDA OD PChunter 010Editor Hash
2 .病毒行为
不定期显示恐吓对话框
更改桌面壁纸
3.恶意代码具体分析
连接到可疑URL
如果_p_argc ()大于或等于2,则进入服务执行主进程,否则进入病毒执行进程
1.sub_408000服务的主流程
ShellCode有X84和X64两个版本,在010编辑器中提取两个PE文件
对提取的dll进行分析后,创建了一个mssecsvc.exe文件,并将存储在主文件资源段中的部分Payload写入mssecsvc.exe中,从而创建了进程触发器漏洞。 后面的分析表明,mssecsvc.exe是一种病毒注册的服务,用于自动感染其他主机
内部网络感染:通过GetAdaptersInfo获取本地网卡信息,通过随机扫描连接内部网络主机445端口
外联网感染:
尝试连接到外部网主机445端口
2.StarAdd病毒的主要流程
病毒创建服务并将其伪装为“Microsoftsecuritycenter(2.0 )服务”
sub_407CE0
****第2部分: ***根据目录找到tasksche.exe文件并继续分析,使用IDA分析taskshe.exe
1.tasksche.exe运行主进程
2 .详细分析
1 .获取主机名,判断文件打开参数,如果参数不是/i,就直接结束流程
2 .判断C :程序数据目录中是否存在intel文件,如果存在,则创建随机文件
2.2文件复制
将taskshe.exe作为服务启动,如果失败,则使用普通方法启动
4 .创建注册表项HKEY _ LH key _ local _ machinesoftwarewana crypt 0rwd
5 .为了避免杀死从5.sub_401DAB释放出的病毒文件,资源中的PE文件是加密的,
将向已释放资源的函数传递类似key的参数。 参数值为WNcry@2ol7
将解密后的文件的内容改写为文件
6 .比特币钱包
6.2将比特币钱包帐户保存到c.wnry文件
打开Windows系统上的attrib.exe和icacls.exe命令行参数格式,设置文件属性并获取文件的完全控制属性
在GetProcAddress中动态获取所需的函数地址
要加密的文件类型
. doc、 docx、 docb、 docm、 dot、 dotm、 dotx、 xls、 xlsx、 xlsm
".xlsb ".xlw ".xlt ".xlm ".xlc ".xltx ".xltm ".PPT ".pptx ".pptm ".pptm "
".PPS ".ppsm ".ppsx ".ppam ".potx ".potm ".PST ".ost ".".msg ".EML "
".EDB ".VSD ".vsdx ".txt ".CSV ".rtf ".123 ".wks ".wk1 ".pdf ".DWG "
. one TOC2' '.snt ' '.hwp ' '.602 ' '.sxi ' '.STI ' '.sldx ' '.sldm ' '.sldm ' '.VDI '
".vmdk ".vmx ".gpg ".AES ".arc "; ".paq ".bz2 ".tbk ".bak "
".tar ".tgz ".gz ".7z ".rar ".zip ".backup ".iso ".vcd "
; jpeg、 jpg、 bmp、 png、 gif、 raw、 cgm、 tif
; tiff、 nef和。
psd”; “.ai” ; “.svg” ; “.djvu”; “.m4u” ; ".m3u; “.mid”; “.wma”; “.flv”; “.3g2”; “.mkv”; “.3gp” ; “.mp4”; “.mov”; “.avi” ; “.asf” ;
“.mpeg” ; “.vob”; “.mpg”; “.wmv” ; “.fla”; “.swf” ; “.wav” ; “.mp3”
; “.sh”; “.class”; “.jar”; “.java”; “.rb” ; “.asp” ; “.php” ; “.jsp” ; “.brd”; “.sch”
; “.dch” ; “.dip”; “.pl”; “.vb”; “.vbs”; “.ps1” ; “.bat”; “.cmd” ; “.js” ; “.asm”
; “.h”; “.pas”; “.cpp” ; “.c”; “.cs” ; “.suo” ; “.sln” ; “.ldf”; “.mdf”; “.ibd”; “.myi”
; “.myd” ; “.frm”; “.odb” ; “.dbf”; “.db”; “.mdb”; “.accdb”; “.sql”; “.sqlitedb”
; “.sqlite3”; “.asc” ; “.lay6”; “.lay” ; “.mml” ; “.sxm”; “.otg” ; “.odg” ; “.uop”
; “.std”; “.sxd” ; “.otp” ; “.odp” ; “.wb2” ; “.slk” ; “.dif” ; “.stc” ; “.sxc” ; “.ots”
; “.ods”; “.3dm”; “.max” ; “.3ds” ; “.uot” ; “.stw”; “.sxw”; “.ott”; “.odt” ; “.pem”
; “.p12” ; “.csr” ; “.crt”; “.key”; “.pfx”; “.der”
8.解密t.wnry文件
8.2将解密后的数据存储在堆里
9 1.将解密后的dll动态加载到0x10000000,如果被占用就重定位
2.查找dll导出表,获取TaskStart函数地址,调用TaskStart
由于动态加载的DLL在内存中,为了方便分析,我们使用OD插件将该文件dump出来继续分析
第二部分总结:taskshe.exe主要行为:
1.备份taskche.exe文件到新创建的随机目录中。
2.释放资源中的压缩包中的大量文件,资源中的文件为加密文件,用于免杀。
3.使用windows系统函数用于RSA+AES的方式加解密。
4.动态解密t.wnry,手动加载dll,查找导出表中的taskStart函数,手动调用taskStart。
第三部分
dump.dll分析,程序主流程:
开辟5个线程
程序执行详细分析:
初始化勒索进程,遍历磁盘进行文件加密,写满磁盘等操作。
sub_10005480,遍历加密文件
遍历磁盘,加密文件
第三部分总结
dump.dll的主要行为:
1.创建秘钥文件和资源文件,用于加密。
2.检测是否存在dkey解密用的秘钥文件,如果存在则停止加密。
3.检测磁盘状态,如果磁盘有更新则会跟新的内容加密。
4.启动勒索客户端,设置注册表自启动
5.遍历文件进行指定类型文件的加密
解决方案
1 下载补丁,安装杀软。
2 关闭445,139服务共享端口 。病毒传播使用"永恒之蓝漏洞",通过139和445端口进行局域网和外网的传播,关闭之后可以阻断传播。
3 创建互斥体,由于病毒会检测是否创建互斥体MsWinZonesCacheCounterMutexA,用户可自行创建此互斥体,这样病毒检测到互斥体就不会进行加密操作。