欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

WannaCry勒索病毒逆向和内网传播数据分析

来源:本站整理 作者:佚名 时间:2017-05-20 TAG: 我要投稿

由于周末没有加班,所以没有及时对这个病毒及时做分析,虽然网上已经有很多分析报告了,不过还是想写一下自己的分析,直接进入主题。
盛传的KillSwitch,如果域名访问成功则不执行加密,关于这个域名探测的目的,我个人更倾向于是antisandbox:
 


判断参数是否大于2个,大于则直接打开服务,小于则创建服务
 

创建并启动名为“mssecsvc2.0”的服务,以“ -msecurity”为参数实现自启动:
 

读取资源文件,释放到“C:\WINDOWS\tasksche.exe”,这个资源文件提供文件加密的功能:
 

获取漏洞利用的payload
 

绑445端口

建立socket进行漏洞利用
 

再看这个用于加密的资源样本,仍包含了一个资源文件,改后缀为zip解压,样本的解压密码是WNcry@2ol7,通过资源工具也可以查看到。解压后的文件结构如下:

msg文件夹下就是所有的语言包,这个多国语言还真是让我佩服了一下:
 

b.wnry是bmp文件,也就是中毒后显示的桌面:

r.wnry文件中保存着提示信息:

s.wnry文件是个压缩包,里面保存着Tor
u.wnry是解密程序,通过比对文件“@WanaDecryptor@.exe”的MD5也可验证。
分析加密主程序,创建名为“MsWinZonesCacheCounterMutexA”的互斥量,如果创建失败,则1秒钟后再次尝试,超过60秒如仍然失败,则返回0,成功为1:
 


比特币帐号是hardcode到样本中,共三个,从中随机选出一个,然后将帐号信息写入到文件“c.wnry”中:
 


设置DisplayName,伪随机,每次执行返回都一样,用于标识本机。
 

获取kernel32.dll和advapi32.dll中的函数。
 

读取资源文件,在内存解压后拷贝到当前目录,并通过“attrib+h”设置当前目录为隐藏属性,“icacls. /grant Everyone:F /T /C /Q”用于设置所有用户的访问权限。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载