【推广】永恒之蓝WannaCry详细分析报

2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,仅仅几个小时内,该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招,且攻击仍在蔓延。

据报道,勒索攻击导致16家英国医院业务瘫痪,西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织,11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。国内也有大量教学系统瘫痪,包括校园一卡通系统。

瑞星的研究人员对勒索软件进行详细的分析,并且给出多种解决方案,包括“永恒之蓝”病毒免疫工具。

漏洞利用模块分析

1.启动之后判断命令行参数,是否已经释放文件。如果没有释放文件则释放文件,启动释放的加密器,把自身设置为服务。

图-创建服务

病毒主程序 伪装为微软安全中心

图-伪装为服务

从资源中解密文件

图-从资源中释放出加密器

拼凑路径

图-拼凑加密器释放的路径

释放加密器

图-释放加密器

启动加密器

图-启动加密器程序

2.如果服务创建成功,则启动服务进入服务函数,创建线程 执行相应功能

图-随机生成攻击IP

图-利用漏洞攻击生成的IP

攻击线程中构造exploit 发送漏洞利用程序数据包

复制shellcode

图-构造漏洞利用数据包

发送数据包 利用漏洞攻击攻击生成的IP

图-收发数据包

图-发送漏洞利用数据包

随机生成IP 攻击全球主机

图-被攻击IP

加密器分析

加密器启动之后复制自身到C:\ProgramData\dhoodadzaskflip373(不同的系统会复制到不同的目录)目录下

图-复制自身并启动

创建服务 使用cmd命令启动自身 防止被结束进程

创建服务

图-创建服务 防止被结束

各参数信息

图-服务信息

创建互斥体 防止运行多个实例

MsWinZonesCacheCounterMutexA

创建注册表键值

图-创建注册表键值

从资源中解密出相关文件

包括提权模块taskse.exe 、 清空回收站模块taskdl.exe、解密器程序@WanaDecryptor@

还有一些 语言资源文件和 配置文件

图-加密器释放的文件

然后随机从三个比特币钱包中选取一个 作为勒索显示信息

图-比特币钱包地址

把释放的文件夹 所有文件 设置为隐藏属性

图-释放的文件设置为隐藏

遍历查找文件

图-遍历文件

判断是否是不感染的路径

图-判断路径

判断是否是要加密的文件类型

图-判断文件类型

读取文件并加密

图-读取文件

删除原来的文件 只保留加密后的文件

图-删除原文件

病毒会加密指定类型的文件

图-加密的文件类型

加密后的文件添加后缀 .WNCRYT

图-被加密的文件后缀

加密完成之后运行解密器 弹出勒索窗口

解密器分析

解密器运行之后会删除windows自动备份 无法还原被加密的文件

图-删除备份

修改桌面背景 显示勒索信息

图-勒索信息

弹出勒索窗口,显示比特币钱包地址和付款金额

图-勒索弹窗

解决方案

1.打补丁

由于此次勒索病毒大范围传播是由于很多机器没有打补丁,被攻击之后导致中毒。没有中毒的机器,尽快打补丁可以避免中毒。

2.关闭端口

由于此漏洞需要利用445端口传播,关闭端口 漏洞就无法利用

关闭端口详细方法见附录

3.创建互斥体

由于加密器,启动之后会检测是否已经有加密器程序存在,防止互相之间干扰,所以会创建互斥体MsWinZonesCacheCounterMutexA。只要检测到互斥体存在就会关闭程序。安全软件可以利用这一点 让病毒运行之后自动退出,无法加密文件。

附录 关闭端口方法

设置本机防火墙策略阻止本机445端口访问

1)WindowsXP 防火墙设置方法:

2)Win7/Win8/Win10防火墙设置方法:

启用防火墙
高级设置
新建入站规则
创建端口过滤规则
指定协议类型和端口号
阻止连接
规则应用到全部

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-05-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏ytkah

第三方平台可以通过微信公众平台素材管理接口实现同步了

  平时运营微信公众平台时有没发现素材管理有点不太好操作,特别是素材一多,找个东西都翻半天。现在好了,微信宣布公众平台新增素材管理接口,对所有认证公众号开放,方...

75450
来自专栏web007

工行b2c

2.商户按照工行B2C支付1.0.0.11接口形成提交数据,并使用工行提供API和商户证书对订单数据签名,形成form表单返回客户浏览器,表单action地址指...

33700
来自专栏安恒信息

以银行为目标的Office 0day漏洞利用木马分析

步骤分析 近日,国外安全厂商McAfee和FireEye发现了一个针对银行的木马,该木马利用了一个Office零日漏洞发起攻击,危害性非常高,经过安恒研究院分析...

35370
来自专栏GuZhenYin

ASP.NET Core2.1 你不得不了解的GDPR(Cookie处理)

...然后就碰到问题了... 我发现..cookie竟然存不进去了..(怨念+100)

20300
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–外贸出口处理(118)-5形式发票

一、VF01形式发票 在此活动中,您可以处理开票。通常,您必须在第一步中为海关部门执行形式发票。您将在此流程的后续步骤中创建最终开票凭证。 1. 在 创建出具发...

52650
来自专栏开源项目

最全“勒索病毒”的应对方案

5月12日,“勒索病毒”在全球爆发了。截止到目前为止,包括英国、中国、美国、俄罗斯和意大利等在内的全球多个国家均受到此次病毒的攻击。 “勒索病毒”有什么危害? ...

54890
来自专栏SAP最佳业务实践

SAP最佳业务实践:MM–组件收费的委外加工(251)-9抵扣的应付帐款

4.11 记录可抵扣的应付帐款 按照委外加工商的类型和冲销方法,基于与收费组件的委外加工商方面的金额,创建可抵扣的应付帐款。 (仅对SAP GUI,需要运行事务...

42560
来自专栏安恒信息

用户需警惕移动存储介质传播的木马新变种

通过对互联网监测发现,近期出现恶意木马程序变种Trojan_Generic.DP。该变种通过移动存储介质进行传播,使受感染操作系统无法正常进入安全...

34570
来自专栏FreeBuf

揭秘银行木马Chthonic:网银大盗ZeuS的最新变种

说到Zeus/Zbot,做安全多多少少都会有所了解。Zeus是对金融系统威胁最大的僵尸网络之一,控制者借助僵尸程序窃取账户登录信息和信用卡号码。Zbot往往通过...

19470
来自专栏ytkah

帝国CMS搜索页伪静态实现方法

  本文介绍帝国CMS搜索页url伪静态实现方法,可实现帝国CMS站内搜索结果页的伪静态显示,在使用帝国CMS二次开发中非常具有实用价值,需要的朋友可以参考下(...

38670

扫码关注云+社区

领取腾讯云代金券