欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

360天眼:WannaCry(想哭勒索蠕虫)技术分析

来源:本站整理 作者:佚名 时间:2017-05-16 TAG: 我要投稿

一、 事件时间线
1) 2017年5月12日
Malware Tech在twitter上发布了一条通过SMB传播的勒索软件WannaCrypt,之后相关kill switch url被注册监管,之后该twitter作者编写了文章“How to Accidentally Stop a Global Cyber Attacks”,在该文章中记录了他是如何第一时间注意到这次攻击事件,并迅速做出相应的过程。

2) 2017年5月12日
360发布紧急通告,对一种利用MS17-010进行传播勒索蠕虫进行了预警。

Malwarebytes发布相关分析的报告

思科talos intelligence发布相关的分析报告

同日英国大量医院感染WannaCry蠕虫。

3) 2017年5月13日
360发布对WannaCry勒索蠕虫的技术分析。
http://bobao.360.cn/learning/detail/3853.html

二、 蠕虫变种监测
事件发生以来,包含360公司追日团队在内多家安全研究机构对蠕虫的技术细节做了详细分析,可见文后参考引用。在原始版本的蠕虫泛滥以后,360威胁情报中心观察到了大量基于修改的变种,数量达到数百个,在情报中心的图关联搜索中可以很直观地看到部分关联:

其中几个相对比较有特点的变种如下:
1) d5dcd28612f4d6ffca0cfeaefd606bcf
新版本变种和第一版差别不大,只是修改了一开始KILL SWITCH URL(修改为http://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com ),如下所示:

目前发现有多个变种采用了这种通过简单二进制Patch的方式修改开关域名,与原始版本相关,整个恶意代码只有域名部分的字节被修改:

我们看到部分样本及对应开关域名如下:

总体来说,由于随着系统漏洞的修补,这类样本对整体感染影响不大,下图是原始开关域名与其中一个修改后域名的解析量对比:

从上图还可以看到,开关域名对蠕虫的传播影响非常大,在域名被安全研究者注册形成有效解析和访问以后初始的指数级感染趋势很快被抑制,之后基本再也没有超过最早快速上升阶段形成的高峰。
2) d724d8cc6420f06e8a48752f0da11c66
样本通过对原始样本二进制Patch直接去除了检查开关域名以停止加密的功能,可以直接进入感染流程。下图为修改前后的比较:

但是勒索的部分可能是由于作者疏忽,样本里硬编码的用于解压zip的密码还是WNcry@2ol7, 这个密码并不能解压成功,导致勒索流程被废掉了。接来下的变种可能会修复这个“Bug”,而使攻击的威胁程度大增。
360威胁情报中心会对出现的变种蠕虫做持续跟踪,更新进展。
三、 原始蠕虫分析
作为补充,以下是360威胁情报中心对追日团队的技术分析报告基础上进行的分析确认,补充可能看到的一些细节。
样本为一个标准的网络蠕虫,通过MS17-010进行传播,不同于传统的蠕虫在于,该样本中附加了对应的勒索软件,以寻求利益的最大化,整体的感染流程如下所示:

样本运行之后会对内网,外网445端口进行扫描之后,通过MS17-010漏洞上传并执行payload进行传播,之后释放ransom样本,ransom执行初始化之后,再次释放对应的加密模块ransommodule对文件进行加密。
蠕虫整体分为三部分
Worm MD5:DB349B97C37D22F5EA1D1841E3C89EB4

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载