本文講的是利用互斥體阻斷想哭蠕蟲(chóng)，實(shí)現(xiàn)聯(lián)網(wǎng)升級(jí)，WanaCry想哭蠕蟲(chóng)肆虐，在全球范圍內(nèi)爆發(fā)。集團(tuán)擁有數(shù)量巨大的終端用戶，在經(jīng)歷斷網(wǎng)升級(jí)之痛后的總結(jié)分析過(guò)程中，海航云安全團(tuán)隊(duì)發(fā)現(xiàn)了利用病毒互斥體實(shí)現(xiàn)蠕蟲(chóng)阻斷，支持用戶聯(lián)網(wǎng)升級(jí)的有效方法。

0x1 WannaCry 2.0變種蠕蟲(chóng)抽樣分析樣本信息

?

0x2蠕蟲(chóng)邏輯分析

病毒W(wǎng)inMain函數(shù)的控制流如下，在執(zhí)行的過(guò)程中，病毒會(huì)釋放一些資源文件，用于加密文件或與tor服務(wù)器聯(lián)系：

?

?

病毒程序在0x00401F5D處，釋放tasksche.exe等惡意資源文件，但并未執(zhí)行。如下圖所示：

在地址0x00401EFF處，病毒程序創(chuàng)建一個(gè)名為MsWinZonesCacheCounterMutexA的互斥體。為了阻止運(yùn)行多個(gè)實(shí)例，病毒運(yùn)行的時(shí)候會(huì)檢查該互斥體，如果該互斥體存在，那么病毒就認(rèn)為已經(jīng)有另一個(gè)病毒實(shí)例在運(yùn)行了，于是就阻塞在這里等待不再繼續(xù)執(zhí)行了。運(yùn)行流程如下圖所示：

0x3病毒阻止方式

只需要在病毒加載之前，先獲取到名為MsWinZonesCacheCounterMutexA的互斥體，就可以阻止病毒運(yùn)行。

例如，在powershell中，運(yùn)行如下命令：

$mutex?=?New-Object?-TypeName?System.Threading.Mutex($true,?"MsWinZonesCacheCounterMutexA",?[ref]$false)

?

我們做了一個(gè)測(cè)試，如下圖，可以看到：病毒已經(jīng)釋放資源，但測(cè)試文檔1并沒(méi)有被加密。只要保持名為MsWinZonesCacheCounterMutexA的互斥體存在，病毒惡意代碼就會(huì)被掛起暫時(shí)不再繼續(xù)執(zhí)行進(jìn)行加密和傳播。

可以使用該方法實(shí)現(xiàn)免疫功能，之后就可以聯(lián)網(wǎng)進(jìn)行補(bǔ)丁升級(jí)。實(shí)現(xiàn)自動(dòng)化工具也非常簡(jiǎn)單，源代碼也在此一并發(fā)布供大家參考。

原文發(fā)布時(shí)間為：2017年5月16日 本文作者：海航云安全 本文來(lái)自云棲社區(qū)合作伙伴嘶吼，了解相關(guān)信息可以關(guān)注嘶吼網(wǎng)站。 原文鏈接

總結(jié)

以上是生活随笔為你收集整理的利用互斥体阻断想哭蠕虫，实现联网升级的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。