转自瑞星:“永恒之蓝”WannaCry勒索病毒分析报告
2017-05-13 ??
WannaCry勒索病毒 通過windows操作系統(tǒng)漏洞EternalBlue永恒之藍 發(fā)起攻擊。3月14 微軟已經(jīng)發(fā)布補丁,由于很多受害者沒有及時安裝補丁,導致被病毒攻擊,計算機中的文件被加密。一. 背景介紹
WannaCry勒索病毒 通過windows操作系統(tǒng)漏洞EternalBlue永恒之藍 發(fā)起攻擊。3月14 微軟已經(jīng)發(fā)布補丁,由于很多受害者沒有及時安裝補丁,導致被病毒攻擊,計算機中的文件被加密。
二. 詳細分析
病毒分為漏洞利用模塊,加密器,解密器
攻擊邏輯如下:
攻擊者發(fā)起攻擊,被攻擊機器由于存在漏洞,導致自身中毒。中毒之后漏洞利用模塊啟動,漏洞利用模塊運行之后,釋放加密器和解密器,啟動攻擊線程,隨機生成ip地址,攻擊全球。加密器啟動之后,加密指定類型的文件。文件全部加密之后,啟動解密器。解密器啟動之后,設(shè)置桌面背景顯示勒索信息,彈出窗口 顯示付款賬號和勒索信。威脅用戶指定時間內(nèi)不付款文件無法恢復。
漏洞利用模塊分析
1.啟動之后判斷命令行參數(shù),是否已經(jīng)釋放文件。如果沒有釋放文件則釋放文件,啟動釋放的加密器,把自身設(shè)置為服務(wù)。
圖-創(chuàng)建服務(wù)
病毒主程序 偽裝為微軟安全中心
圖-偽裝為服務(wù)
從資源中解密文件
圖-從資源中釋放出加密器
拼湊路徑
圖-拼湊加密器釋放的路徑
釋放加密器
圖-釋放加密器
啟動加密器
圖-啟動加密器程序
2.如果服務(wù)創(chuàng)建成功,則啟動服務(wù)進入服務(wù)函數(shù),創(chuàng)建線程 執(zhí)行相應(yīng)功能
圖-隨機生成攻擊IP
圖-利用漏洞攻擊生成的IP
攻擊線程中構(gòu)造exploit 發(fā)送漏洞利用程序數(shù)據(jù)包
復制shellcode
圖-構(gòu)造漏洞利用數(shù)據(jù)包
發(fā)送數(shù)據(jù)包 利用漏洞攻擊攻擊生成的IP
圖-收發(fā)數(shù)據(jù)包
圖-發(fā)送漏洞利用數(shù)據(jù)包
隨機生成IP 攻擊全球主機
圖-被攻擊IP
加密器分析
加密器啟動之后復制自身到C:\ProgramData\dhoodadzaskflip373(不同的系統(tǒng)會復制到不同的目錄)目錄下
圖-復制自身并啟動
創(chuàng)建服務(wù) 使用cmd命令啟動自身 防止被結(jié)束進程
創(chuàng)建服務(wù)
圖-創(chuàng)建服務(wù) 防止被結(jié)束
各參數(shù)信息
圖-服務(wù)信息
創(chuàng)建互斥體 防止運行多個實例
MsWinZonesCacheCounterMutexA
創(chuàng)建注冊表鍵值
圖-創(chuàng)建注冊表鍵值
從資源中解密出相關(guān)文件
包括提權(quán)模塊taskse.exe 、 清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@
還有一些 語言資源文件和 配置文件
圖-加密器釋放的文件
然后隨機從三個比特幣錢包中選取一個 作為勒索顯示信息
圖-比特幣錢包地址
把釋放的文件夾 所有文件 設(shè)置為隱藏屬性
圖-釋放的文件設(shè)置為隱藏
遍歷查找文件
圖-遍歷文件
判斷是否是不感染的路徑
圖-判斷路徑
判斷是否是要加密的文件類型
圖-判斷文件類型
讀取文件并加密
圖-讀取文件
刪除原來的文件 只保留加密后的文件
圖-刪除原文件
病毒會加密指定類型的文件
圖-加密的文件類型
加密后的文件添加后綴 .WNCRYT
圖-被加密的文件后綴
加密完成之后運行解密器 彈出勒索窗口
解密器分析
解密器運行之后會刪除windows自動備份 無法還原被加密的文件
圖-刪除備份
修改桌面背景 顯示勒索信息
圖-勒索信息
彈出勒索窗口,顯示比特幣錢包地址和付款金額
圖-勒索彈窗
解決方案
1.打補丁
由于此次勒索病毒大范圍傳播是由于很多機器沒有打補丁,被攻擊之后導致中毒。沒有中毒的機器,盡快打補丁可以避免中毒。
2.關(guān)閉端口
由于此漏洞需要利用445端口傳播,關(guān)閉端口 漏洞就無法利用
關(guān)閉端口詳細方法見附錄
3.創(chuàng)建互斥體
由于加密器,啟動之后會檢測是否已經(jīng)有加密器程序存在,防止互相之間干擾,所以會創(chuàng)建互斥體MsWinZonesCacheCounterMutexA。只要檢測到互斥體存在就會關(guān)閉程序。安全軟件可以利用這一點 讓病毒運行之后自動退出,無法加密文件。
附錄 關(guān)閉端口方法
設(shè)置本機防火墻策略阻止本機445端口訪問
1)WindowsXP 防火墻設(shè)置方法:
2)Win7/Win8/Win10防火墻設(shè)置方法:
啟用防火墻
高級設(shè)置
新建入站規(guī)則
創(chuàng)建端口過濾規(guī)則
指定協(xié)議類型和端口號
阻止連接
規(guī)則應(yīng)用到全部
?
更新微軟MS17-010漏洞補丁,對應(yīng)不同系統(tǒng)的補丁號對照表:
| 系統(tǒng) | 補丁號 | 補丁下載地址 |
| Windows Vista Windows Server 2008 | KB4012598 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu |
| Windows 7 Windows Server 2008 R2 | KB4012212 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu |
| KB4012215 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu | |
| Windows 8.1 | KB4012213 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu |
| KB4012216 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x86_d4facfdaf4b1791efbc3612fe299e41515569443.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu | |
| Windows Server2012 | KB4012214 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu |
| KB4012217 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012217-x64_96635071602f71b4fb2f1a202e99a5e21870bc93.msu | |
| Windows Server2012 R2 | KB4012213 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu |
| KB4012216 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu | |
| Windows 10 | KB4012606 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu |
| Windows 10 1511 | KB4013198 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu |
| Windows 10 1607 | KB4013429 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x86_delta_13d776b4b814fcc39e483713ad012070466a950b.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x64_delta_24521980a64972e99692997216f9d2cf73803b37.msu |
轉(zhuǎn)載于:https://www.cnblogs.com/cneseu/p/6853098.html
總結(jié)
以上是生活随笔為你收集整理的转自瑞星:“永恒之蓝”WannaCry勒索病毒分析报告的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: windowns server 2008
- 下一篇: 磁偏角