轉自瑞星：「永恆之藍」WannaCry勒索病毒分析報告

時間 2019-11-24

標籤永恆 wannacry 勒索病毒分析報告欄目系統安全简体版

原文原文鏈接

2017-05-13 shell

WannaCry勒索病毒經過windows操做系統漏洞EternalBlue永恆之藍發起攻擊。3月14 微軟已經發布補丁，因爲不少受害者沒有及時安裝補丁，致使被病毒攻擊，計算機中的文件被加密。

一. 背景介紹

WannaCry勒索病毒經過windows操做系統漏洞EternalBlue永恆之藍發起攻擊。3月14 微軟已經發布補丁，因爲不少受害者沒有及時安裝補丁，致使被病毒攻擊，計算機中的文件被加密。windows

二. 詳細分析

病毒分爲漏洞利用模塊，加密器，解密器安全

攻擊邏輯以下：函數

攻擊者發起攻擊，被攻擊機器因爲存在漏洞，致使自身中毒。中毒以後漏洞利用模塊啓動，漏洞利用模塊運行以後，釋放加密器和解密器，啓動攻擊線程，隨機生成ip地址，攻擊全球。加密器啓動以後，加密指定類型的文件。文件所有加密以後，啓動解密器。解密器啓動以後，設置桌面背景顯示勒索信息，彈出窗口顯示付款帳號和勒索信。威脅用戶指定時間內不付款文件沒法恢復。加密

漏洞利用模塊分析

1.啓動以後判斷命令行參數，是否已經釋放文件。若是沒有釋放文件則釋放文件，啓動釋放的加密器，把自身設置爲服務。spa

圖-建立服務操作系統

病毒主程序假裝爲微軟安全中心.net

圖-假裝爲服務命令行

從資源中解密文件線程

圖-從資源中釋放出加密器

拼湊路徑

圖-拼湊加密器釋放的路徑

釋放加密器

圖-釋放加密器

啓動加密器

圖-啓動加密器程序

2.若是服務建立成功，則啓動服務進入服務函數，建立線程執行相應功能

圖-隨機生成攻擊IP

圖-利用漏洞攻擊生成的IP

攻擊線程中構造exploit 發送漏洞利用程序數據包

複製shellcode

圖-構造漏洞利用數據包

發送數據包利用漏洞攻擊攻擊生成的IP

圖-收發數據包

圖-發送漏洞利用數據包

隨機生成IP 攻擊全球主機

圖-被攻擊IP

加密器分析

加密器啓動以後複製自身到C:\ProgramData\dhoodadzaskflip373（不一樣的系統會複製到不一樣的目錄）目錄下

圖-複製自身並啓動

建立服務使用cmd命令啓動自身防止被結束進程

建立服務

圖-建立服務防止被結束

各參數信息

圖-服務信息

建立互斥體防止運行多個實例

MsWinZonesCacheCounterMutexA

建立註冊表鍵值

圖-建立註冊表鍵值

從資源中解密出相關文件

包括提權模塊taskse.exe 、清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@

還有一些語言資源文件和配置文件

圖-加密器釋放的文件

而後隨機從三個比特幣錢包中選取一個做爲勒索顯示信息

圖-比特幣錢包地址

把釋放的文件夾全部文件設置爲隱藏屬性

圖-釋放的文件設置爲隱藏

遍歷查找文件

圖-遍歷文件

判斷是不是不感染的路徑

圖-判斷路徑

判斷是不是要加密的文件類型

圖-判斷文件類型

讀取文件並加密

圖-讀取文件

刪除原來的文件只保留加密後的文件

圖-刪除原文件

病毒會加密指定類型的文件

圖-加密的文件類型

加密後的文件添加後綴 .WNCRYT

圖-被加密的文件後綴

加密完成以後運行解密器彈出勒索窗口

解密器分析

解密器運行以後會刪除windows自動備份沒法還原被加密的文件

圖-刪除備份

修改桌面背景顯示勒索信息

圖-勒索信息

彈出勒索窗口，顯示比特幣錢包地址和付款金額

圖-勒索彈窗

解決方案

1.打補丁

因爲這次勒索病毒大範圍傳播是因爲不少機器沒有打補丁，被攻擊以後致使中毒。沒有中毒的機器，儘快打補丁能夠避免中毒。

2.關閉端口

因爲此漏洞須要利用445端口傳播，關閉端口漏洞就沒法利用

關閉端口詳細方法見附錄

3.建立互斥體

因爲加密器，啓動以後會檢測是否已經有加密器程序存在，防止互相之間干擾，因此會建立互斥體MsWinZonesCacheCounterMutexA。只要檢測到互斥體存在就會關閉程序。安全軟件能夠利用這一點讓病毒運行以後自動退出，沒法加密文件。

附錄關閉端口方法

設置本機防火牆策略阻止本機445端口訪問

1）WindowsXP 防火牆設置方法：

2）Win7/Win8/Win10防火牆設置方法：

啓用防火牆

高級設置

新建入站規則

建立端口過濾規則

指定協議類型和端口號

阻止鏈接

規則應用到所有

更新微軟MS17-010漏洞補丁，對應不一樣系統的補丁號對照表：

系統	補丁號	補丁下載地址
Windows Vista Windows Server 2008	KB4012598	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows 7 Windows Server 2008 R2	KB4012212	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows 7 Windows Server 2008 R2	KB4012215	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu
Windows 8.1	KB4012213	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Windows 8.1	KB4012216	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x86_d4facfdaf4b1791efbc3612fe299e41515569443.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu
Windows Server2012	KB4012214	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
Windows Server2012	KB4012217	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012217-x64_96635071602f71b4fb2f1a202e99a5e21870bc93.msu
Windows Server2012 R2	KB4012213	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Windows Server2012 R2	KB4012216	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu
Windows 10	KB4012606	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 1511	KB4013198	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 1607	KB4013429	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x86_delta_13d776b4b814fcc39e483713ad012070466a950b.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x64_delta_24521980a64972e99692997216f9d2cf73803b37.msu