“永恒之蓝”勒索软件样本分析及一线案例处置分享

1. 样本收集

网上收集整理了已有的样本MD5,下载地址:

https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974a

同时结合US-CERT收集的样本列表:

https://www.us-cert.gov/sites/default/files/ALERT_TA17-132A.xlsx

2. 样本分析

2.1 样本基本分析结果

大部分样本都不容易找到,但可以Hybrid Analysis搜索到样本相关信息,从已有列表中除去重复和非主程序样本以及无详细信息MD5样本共35条。

2.2 样本关联分析结果

大部分样本都在5月12号集中爆发,但其中有样本最早时间可以追溯到4月10号、11号、15号。

MD5为808182340FB1B0B0B301C998E855A7C8的样本的记录:

https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EKL/detailed-analysis.aspx

2017-04-10发现,感染特征相同(.WCRY)

大部分样本都不容易找到,但可以Hybrid Analysis搜索到样本相关信息,从已有列表中除去重复和非主程序样本以及无详细信息MD5样本共35条。

C:\Documents and Settings\test user\My Documents\GOAT9.XLS.WCRY

C:\Documents and Settings\test user\My Documents\GOAT1.XLS.WCRY

C:\Documents and Settings\test user\My Documents\GOAT7.XLS.WCRY

MD5为4DA1F312A214C07143ABEEAFB695D904的样本记录:

https://www.hybrid-analysis.com/sample/aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002c?environmentId=100

2017-04-11发现,感染特征相同(WCry_WannaCry_ransomware)

释放文件:WannaDecryptor!.exe、taskhosts.exe

网络访问:

https://www.google.com/search?q=how+to+buy+bitcoin

https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1

https://en.wikipedia.org/wiki/bitcoin

https://www.torproject.org/download/download#warning

https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

http://www.btcfrog.com/qr/bitcoinpng.php?address

发现主要在以下国家出现:

94.23.204.175 法国

128.31.0.39 美国

5.9.158.75 德国

84.80.80.69 荷兰

138.201.132.17 德国

79.172.193.32 匈牙利

91.134.139.207 法国

188.42.216.83 荷兰

51.254.115.225 法国

198.199.90.205 美国

144.76.42.239 德国

104.238.167.111 德国

MD5为B9B3965D1B218C63CD317AC33EDCB942的样本记录:

https://malwr.com/analysis/OTViYWZkYjZkYmZlNDlmMWJmMzg1ZjhjZjU4OWI2NjI/

2017-04-15发现,感染特征相同(.WCRYT、.WCRY)

释放文件:taskhcst.exe

C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg.WCRYT

C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg.WCRY

C:\Perl\c\i686-w64-mingw32\include\pchannel.h.WCRYT

C:\Perl\c\i686-w64-mingw32\include\pchannel.h.WCRY

同时通过搜索引擎,我们发现了更早的样本,时间是2017-03-30。

由于被感染系统已经下线,只能通过缓存访问:

另外根据2-spyware的描述,该样本早在2月就有流传,只是当时无方程式工具助力,传播效应没那么大:

http://www.2-spyware.com/remove-wannacryptor-ransomware-virus.html

2.3 样本综合分析结果

根据样本出现时间点和爆发期可以看到黑客早在2月就已经完成WannaCry勒索功能开发,并小范围投放测试,但不确定是否已经带有已公开的方程式工具中的漏洞利用代码,因为方程式工具是4月14号公开的。

通过已有线索同样可以判断黑客早有计划投放样本,借助方程式工具的漏洞利用代码扩大传播效应。

2.4 样本行为

主要针对5.12 勒索软件行为分析

感染了该勒索病毒的系统会具备以下特征:

1:文件被加密,后缀变成 .wnry、.wcry、.wncry 和 .wncryt。用户会看到一个下面的屏幕显示勒索信息。

2:用户的桌面会被修改成下面的背景图片:

3:具体分析:通过使用以下命令,移除 Volume Shadow 副本和备份:

Cmd /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

该勒索软件的大小为 3.4MB(3514368 字节),制作者将其命名为 WANNACRY(在样本中硬编码的字符串)。

WANNACRY 将自己写入一个在 ProgramData 文件夹下随机的字符文件夹,文件名为tasksche.exe;或者是在 C:\Windows\ 文件夹下,文件名为 mssecsvc.exe 和 tasksche.exe。

示例:

C:\ProgramData\lygekvkj256\tasksche.exe

C:\ProgramData\pepauehfflzjjtl340\tasksche.exe

C:/ProgramData/utehtftufqpkr106/tasksche.exe

c:\programdata\yeznwdibwunjq522\tasksche.exe

C:/ProgramData/uvlozcijuhd698/tasksche.exe

C:/ProgramData/pjnkzipwuf715/tasksche.exe

C:/ProgramData/qjrtialad472/tasksche.exe

c:\programdata\cpmliyxlejnh908\tasksche.exe

WannaCry 还通过使用以下命令获得访问所有文件的权限:

Icacls . /grant Everyone:F /T /C /Q

使用批处理脚本进行操作:

176641494574290.bat

批处理文件内容 (fefe6b30d0819f1a1775e14730a10e0e)

echo off

echo SET ow = WScript.CreateObject(“WScript.Shell”)> m.vbs

echo SET om = ow.CreateShortcut(“C:\

WanaDecryptor

.exe.lnk”)>> m.vbs

echo om.TargetPath = “C:\

WanaDecryptor

.exe”>> m.vbs

echo om.Save>> m.vbs

cscript.exe //nologo m.vbs

del m.vbs

del /a %0

M.vbs 的内容

SET ow = WScript.CreateObject(“WScript.Shell”)

SET om = ow.CreateShortcut(“C:\

WanaDecryptor

.exe.lnk”)

om.TargetPath = “C:\

WanaDecryptor

om.Save

4:恶意勒索软件使用域名及ip以及释放过程中的文件名

IP 地址:

• 231.221.221:9001

• 31.0.39:9191

• 202.160.69:9001

• 101.166.19:9090

• 121.65.179:9001

• 3.69.209:9001

• 0.32.144:9001

• 7.161.218:9001

• 79.179.177:9001

• 61.66.116:9003

• 47.232.237:9001

• 30.158.223:9001

• 172.193.32:443

• 229.72.16:443

域:

• iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed)

• Rphjmrpwmfv6v2e[dot]onion

• Gx7ekbenv2riucmf[dot]onion

• 57g7spgrzlojinas[dot]onion

• xxlvbrloxvriy2c5[dot]onion

• 76jdd2ir2embyv47[dot]onion

• cwwnhwhlz52maqm7[dot]onion

文件名:

• @Please_Read_Me@.txt

• @WanaDecryptor@.exe

• @WanaDecryptor@.exe.lnk

• Please Read Me!.txt (Older variant)

• C:\WINDOWS\tasksche.exe

• C:\WINDOWS\qeriuwjhrf

• bat

• bat

• bat

• [0-9]{15}.bat #regex

• !WannaDecryptor!.exe.lnk

• pky

• eky

• res

• C:\WINDOWS\system32\taskdl.exe

3. 一线处置的案例

3.1 案发背景

某政务机关大型内部专网被恶意勒索软件袭击,涉及区域可以到达各省、市、区县等。

3.2 针对存在风险的电脑及服务器处置方式:

处理方式与过程

已感染处置方式

1:针对已感染发现的电脑及服务器进行断网隔离处理,防止进一步对内网其他机器进行攻击

2:在各网段的网络设备层做隔离处理,针对445 端口进行限制

3:在内部dns服务器增加解析:万能停止域名的解析指向内部一台高质量的服务器

4:对已感染的电脑及服务进行杀毒清理,及尝试性恢复数据。

5:针对重要已有备份的业务进行恢复备份操作及更新补丁关闭端口等操作

未感染处置方式

a:个人电脑

1:隔绝网络连接

2:关闭相关端口

3:安装相关漏洞补丁程序

4:安装相关可防护的防病毒软件及更新至最新的病毒库。

b:线上服务器

1:运行免疫工具,封禁相关端口

2:对线上服务器排查是否已感染

3:安装相关漏洞补丁程序以及相关防病毒软件

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-05-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏逸鹏说道

pplive 查看任意用户详细信息

简要描述: 由敏感信息泄漏导致可以查询MEMCache中用户的详细信息 详细说明: 此前@nold已报告过此问题,现在还没有删除.svn目录 http://p...

372120
来自专栏逸鹏说道

【延迟注入】A5站长网某站存在SQL注入漏洞

A5站长网某站存在SQL注入漏洞(附验证脚本) 详细说明: code 区域 POST /Login/login HTTP/1.1 Host: lianmeng....

30940
来自专栏逸鹏说道

撞库扫号防范

0x00 背景 撞库扫号攻击已经是Top 10 Security Risks for 2014之一,不管你的网站密码保存的额多好,但是面试已经泄露的账号密码,撞...

66970
来自专栏SDNLAB

OpenDaylight安全漏洞无人问津

编者按:开源模式就像是市集,不仅可以提高效率,还可以通过开放全方位检测软件的不足。但是想要将开源的效果发挥到最大就得有完善的管理体系。OpenDaylight在...

37240
来自专栏安恒信息

网络隐私忧虑不解除 大数据行业难成气候

《纽约时报》印刷版周一发表文章称,持续发酵的美国政府监视民众事件引发人们对网络隐私安全的高度关切,这将对以数据为驱动力的科技行业造成负面影响。 以下...

32850
来自专栏安恒信息

欧盟通过新规:将提高网络犯罪活动处罚力度

欧盟立法者7月4日同意加强整个欧盟内部针对网络攻击活动的刑事处罚措施,尤其是对国家基础设施造成损害以及劫持电脑以窃取敏感数据的网络攻击活动。就目前而言,欧盟28...

27890
来自专栏云鼎实验室的专栏

Petya勒索病毒预警通告

6月27日,一种名为“Petya”的新型勒索病毒席卷了欧洲,乌克兰等国家,多家银行和公司,包括政府大楼的电脑都出现问题。 同时,在27号18点左右,腾讯云鼎实验...

31350
来自专栏安恒信息

网络攻击是全球问题 美发中国黑客报告不负责

美国威瑞森公司23日发表《数据窃取调查年度报告》,首次将“有政府背景的网络间谍行为”单独列出,称其分析的2012年可确定的120起政府网络间谍案中,96...

375100
来自专栏安恒信息

联合国:已有46个国家组建网络战部队

联合国裁军研究所相关人士27日透露,最新调查结果显示已有46个国家组建了网络战部队。这一数量约相当于全球国家数量的1/4。2011年上次调查时有33个组...

37790
来自专栏逸鹏说道

圆通wap分站memcache没做ip限制

漏洞证明: 获取memcache的信息,敏感的是version而已 获取item 获取key 然后其实是可以查询到数据的,用get <key>就行,可是我这里木...

27190

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励