来科锐学习一年出头,x86 平台刚好学完,这个周末遇到这个病毒爆发,花了点时间分析了下这个样本,发出来与看雪坛友分享。
一) 样本大致行为预览
该样本执行后会随机向互联网计算机发送eternalblue漏洞溢出程序,并释放勒索加密程序,加密计算机上.doc 、.ppt、.jpg、.sqlite3、.mdb、.bat、.der等多种类型的文件,修改文件后缀为.wncry类型,弹出窗口勒索用户,要求一定时间内交出赎金,才能恢复文件。
二) 样本行为分析
2.1 原始样本分析
定位到winmain后,可以发现在winmain入口处发现,原始样本会尝试连接一个非常没有规律的域名:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。
样本会通过是否能成功连接该域名,来决定是否展开后续行为。
如上图所示,若能够成功链接,则程序不展开相关行为,直接退出。否则,展开相关行为。
其中的sub_408090函数内部,在一个条件判断中分了两个功能模块:
其中,条件成立的代码块是启动服务功能等行为展开,程序第一轮并不会进入;当程序第一次启动时,执行的是条件不成立时的模块(上图中的sub_407f20),其功能主要为创建服务、释放并执行勒索的主体程序tasksche.exe /i。
创建服务过程:
该样本创建一个服务名为"mssecsvc2.0",服务说明为"microsoft security center (2.0) service"的服务。
并在后续的行为中启动自身。
该服务的功能为:随机扫描互联网ip,利用smb的内核级漏洞(cve-2017-0143~cve-2017-0148),传播自身。这个漏洞的利用我自己还在分析,分析出来后会放在后续文章中。
原始样本,会从资源中加载、释放一个名为tasksche.exe的文件,并且以tasksche.exe /i的方式启动。
接着,我分析了 tasksche.exe,它的行为如下
2.2 tasksche.exe 的行为分析
tasksche.exe 启动后,首先,会将自身拷贝到 c:\intel\lgxbrzjmuzoytl531。
接着,tasksche.exe 会创建服务,服务名及说明均为"lgxbrzjmuzoyt1531",然后以服务的方式再启动自身。
以服务的方式启动后,tasksche.exe 会以创建进程的方式执行命令:
attrib.exe +h
icacls.exe . /grant everyone:f /t /c /q
这两个命令用于修改文件属性相关的权限。
接着,会读取前期释放的一个名为 t.wnry 文件,并对其中的内容进行解密,解密后的内容为一个 dll 文件,但是该dll文件并不会被写入磁盘中,而是在内存中直接执行。
我将该 dll 从内存中 dump 出(取名为 crypt.dll),发现包含了勒索软件的加密功能。对其进行了分析。
2.3 crypt.dll 样本分析
crypt.dll 只有一个自定义的导出函数 taskstart,该导出函数是其行为展开的入口。
进入taskstart后,该样本会先加载kernel32,动态获取后续需要的api。
创建互斥体"mswinzonescachecountermutex",用于判断自身重入问题。
接着,该样本连续创建了多个线程,
他们的功能分别为:
l 将tasksc.exe加入到hkcu\software\microsoft\windows\currentversion\run项,用于开机自启动
l 遍历驱动器,并检查是否有u盘等移动存储插入
l 循环调用taskdl.exe,暂未详细分析
l 写入并执行vbs脚本,暂未详细分析
遍历磁盘并加密文件。
该样本不会加密所有的文件或文件夹(否则可能会破坏系统导致系统无法启动,或者有些文件的价值并不大)。其将要感染的文件,以后缀名判断,集中放在程序中,以下是部分截图:
过滤掉特定的文件夹及非指定后缀名的文件之后,程序会对文件进行加密。其加密流程如下,它的加密思路并不是直接用长密钥的rsa进行全部加密,可能处于效率的考虑,它的加密思路如下:
1. 被感染用户的文件,被aes加密,aes加密所使用的key,是根据每个文件随机生成的。随机生成的key,之后会被下一步的rsa 2048加密。
2. 样本在针对每一台机器上,会随机生成一对rsa 2048密钥,其中公钥(保存在00000000.pky中)用于加密上一步的aes key,私钥将被加密后存在文件(00000000.eky)中,具体加密方式见下一步。
3. 上一步的rsa私钥,会被另一个rsa 2048公钥加密(记作 rsa2),该rsa2的私钥仅勒索者本人知道。
知道以上思路后,就比较容易理解该样本的加密流程了:
1. 新建文件,新文件名为原始文件名.wanacryt(t表示临时文件,用于临时处理文件加密)
2. 在新的文件头部先写入8字节的wanacry!加密标志
3. 写入4字节的长度标识,表示后面紧跟的加密后的文件加密密钥的长度
4. 写入256字节长度的加密后的文件加密密钥(该密钥解密后为16字节长度的字符串,使用该字符串aes加密文件)
5. 写入4字节长度的 勒索者作者定义的类型,不为4的文件类型记录到f.wnry文件中,用于后期免费解密。
6. 写入8字节长度的原始文件长度
7. 使用随机生成的16位字节的密钥利用aes加密算法进行加密,并写到上述内容之后。
8. 修改新文件的文件时间为源文件的时间。
9. 删除原文件,并将新文件重命名为wanacry。
10. 若文件为可免费恢复的文件,则将文件名记录到f.wnry文件中。
因为涉及到的代码量较多,不方便截图,感兴趣的可以去看我附带的idb文件。我自己也对该样本的算法进行了还原,写成了cpp文件,供大家参考。
本文转自看雪学院,作者是白小菜