本文轉自 運維小當家 51CTO部落格,原文連結:http://blog.51cto.com/solin/1925949騰訊安全團隊深入解析wannacry蠕蟲病毒
2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發,感染了大量的計算機,該蠕蟲感染計算機後會向計算機中植入敲詐者病毒,導緻電腦大量檔案被加密,本文對其進行詳細分析。
WannaCry木馬利用前陣子洩漏的方程式工具包中的“永恒之藍”漏洞工具,進行網絡端口掃描攻擊,目标機器被成功攻陷後會從攻擊機下載下傳WannaCry木馬進行感染,并作為攻擊機再次掃描網際網路和區域網路其他機器,行成蠕蟲感染大範圍超快速擴散。
木馬母體為mssecsvc.exe,運作後會掃描随機ip的網際網路機器,嘗試感染,也會掃描區域網路相同網段的機器進行感染傳播,此外會釋放敲詐者程式tasksche.exe,對磁盤檔案進行加密勒索。
木馬加密使用AES加密檔案,并使用非對稱加密算法RSA 2048加密随機密鑰,每個檔案使用一個随機密鑰,理論上不可破解。
1、開關:
2、蠕蟲行為:
通過建立服務啟動,每次開機都會自啟動。
從木馬自身讀取MS17_010漏洞利用代碼,playload分為x86和x64兩個版本。
建立兩個線程,分别掃描内網和外網的IP,開始程序蠕蟲傳播感染。
對公網随機ip位址445端口進行掃描感染。
對于區域網路,則直接掃描目前計算機所在的網段進行感染。
感染過程,嘗試連接配接445端口。
如果連接配接成功,則對該位址嘗試進行漏洞攻擊感染。
3、釋放敲詐者
tasksche.exe行為:(敲詐者)
解壓釋放大量敲詐者子產品及配置檔案,解壓密碼為WNcry@2ol7
首先關閉指定程序,避免某些重要檔案因被占用而無法感染。
周遊磁盤檔案,避開含有以下字元的目錄。
\ProgramData \Intel \WINDOWS \Program Files \Program Files (x86) \AppData\Local\Temp \Local Settings\Temp
This folder protects against ransomware. Modifying it will reduce protection
同時,也避免感染木馬釋放出來的說明文檔。
木馬加密流程圖:
周遊磁盤檔案,加密以下178種擴充名檔案。
.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der
程式中内置兩個RSA 2048公鑰,用于加密,其中一個含有配對的私鑰,用于示範能夠解密的檔案,另一個則是真正的加密用的密鑰,程式中沒有相配對的私鑰。
木馬随機生成一個256位元組的密鑰,并拷貝一份用RSA2048加密,RSA公鑰内置于程式中。
構造檔案頭,檔案頭中包含有标志、密鑰大小、RSA加密過的密鑰、檔案大小等資訊。
使用CBC模式AES加密檔案内容,并将檔案内容寫入到構造好的檔案頭後,儲存成擴充名為.WNCRY的檔案,并用随機數填充原始檔案後再删除,防止資料恢複。
完成所有檔案加密後釋放說明文檔,彈出勒索界面,需支付價值數百美元不等的比特比到指定的比特比錢包位址,三個比特币錢包位址寫死于程式中。
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
木馬解密程式中内置了其中一個公鑰的配對私鑰,可以用于解密使用該公鑰加密的幾個檔案,用于向使用者“證明”程式能夠解密檔案,誘導使用者支付比特币。
此後,程式判斷本地是否存在“00000000.dky”檔案,該檔案為真實解密所需私鑰檔案。若存在,則通過解密測試檔案來檢測密鑰檔案是否正确。
若正确,則解密,若錯誤或不存在,木馬将程判斷解壓後的Tor目錄下是否存在taskhsvc.exe,若不存在,則生成該檔案,并且調用CreateProcessA拉起該程序:
該程式主要為tor匿名代理工具,該工具啟動後會監聽本地9050端口,木馬通過本地代理通信實作與伺服器連接配接。
在點選“Check Payment”按鈕後,由服務端判斷是否下發解密所需私鑰。若私鑰下發,則會在本地生成解密所需要的dky檔案。
而後,程式便可利用該dky檔案進行解密。不過,到目前為止,未曾有解密成功的案例。
檔案清單及作用:
b.wnry: 中招敲詐者後桌面桌面 c.wnry: 配置檔案,包含洋蔥域名、比特币位址、tor下載下傳位址等 r.wnry: 提示檔案,包含中招提示資訊 s.wnry: zip檔案,包含Tor用戶端 t.wnry: 測試檔案 u.wnry: 解密程式 f.wnry: 可免支付解密的檔案清單
由于之前爆發過多起利用445端口共享漏洞攻擊案例,營運商對個人使用者關閉了445端口。因校園網是獨立的,故無此設定,加上不及時更新更新檔,是以在本次事件中導緻大量校園網使用者中招。管家提供以下安全建議:
2、下載下傳并更新更新檔,及時修複漏洞(目前微軟已經緊急釋出XP、Win8、Windows server2003等系統更新檔,已經支援所有主流系統,請立即更新)。
3、安裝騰訊電腦管家,電腦管家會自動開啟主動防禦進行攔截清除;
4、支付比特币并不能解密檔案,不要支付比特币,保留被加密的檔案,等待解密。
原文位址:http://www.freebuf.com/articles/system/134578.html
,如需轉載請自行聯系原作者