欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

WanaCrypt0r勒索病毒分析

来源:本站整理 作者:佚名 时间:2017-05-16 TAG: 我要投稿

0x1 前言
近日,外媒和多家安全公司命名的“WanaCrypt0r”勒索病毒,席卷了全国,企事业单位以及教育网成为重灾区。该病毒利用NSA泄露“永恒之蓝”黑客武器攻击windows系统的445端口,如果没有安装MS17-010相应的补丁,用户不需要任何操作,只要开机上网,病毒就可以感染到本地,加密文件,进行勒索。
此次大规模爆出的病毒为典型的蠕虫类勒索病毒,通过网络进行传播。接下来我们针对流量,对病毒行为进行分析。
0x2 实验环境
操作系统:Windows 7 旗舰版 Services Pack 1
Wireshark 1.12.5
VMware Workstation 12
Process Monitor
0x3 病毒触发时流量分析
此次拿到的病毒样本为较早的版本,Twitter上自称@malwaretechblog的英国研究员发现了隐藏的一个“触发开关”。蠕虫启动时会连接固定的url:
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
如果连接成功则退出程序,连接不成功将继续攻击。
所以最开始我们先对此进行验证。
虚拟机在联网的状态下触发病毒,等待几分钟后并没有发现异常,此时打开wireshark查看期间的流量信息。
请求域名时会向DNS服务器进行解析,所以我们先过滤DNS流量。

很明显,期间有一条DNS请求被捕获,直接查看返回包,回执域名的ip为 54.153.0.145  (此IP为DNS解析到的,不固定,先前回执的还有144.217.254.3和144.217.74.156)
得到IP,那么我们过滤看一下,病毒对这个域名到底有什么数据交换,过滤144.217.254.3,得到结果:

请求过程很简短,三次握手建立连接后进行GET请求,得到返回数据。之后RST强制断掉了连接。
该域名是那名英国安全研究员之后注册的,有趣的是,GET得到的数据:sinkhole.tech - where the bots party hard and the researchers harder.

恢复快照,回滚到原始环境,之后我们断网状态下,再次运行病毒。

很成功的触发了病毒。此时我们再去查看期间的流量信息:
先过滤DNS,查看有无域名访问请求:

同样是有的,只不过此时断开网络,没有DNS解析回执信息而已。
之后我们查看全部流量,发现大量的异常数据包:

发现了两种异常流量,第一种基于ARP的主机发现,以及针对445端口的TCP SYN式扫描。根据情报,我们知道,WanaCrypt0r是利用的“永恒之蓝”黑客武器。蠕虫病毒首先周期性的通过ARP探测本网段活跃的主机,与此同时,扫描一些地址的445端口,如果扫描到的主机开启445端口,则病毒会尝试进行植入。
对流量进行统计,针对TCP活动进行观察:

针对大量的外网IP进行455端口探测。


返回快照,多次触发漏洞发现,探测外部ip的地址每次都不尽相同,应该是蠕虫为了扩大传播范围,不仅扫描当前网段进行攻击,而且还随机扫描公网主机进行传播。
0x5 病毒传播时流量分析
已经被感染的主机A的ip为192.168.43.101,开始未被感染的主机B的ip为192.168.43.32。两台机子开启后,监视之间流量,可以发现:

主机A对主机B进行了455的端口探测,此时主机B对主机A有一个SYN + ACK 数据包的回复。之后主机A建立连接,发送SMB数据包进行攻击,值得注意的是,在对话过程中,有一个包为:

对比之前Eternalblue工具使用的MS17-010 SMB数据包:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载