“永恒之蓝”勒索软件样本分析及一线案例处置分享

1. 样本收集

网上收集整理了已有的样本MD5，下载地址：

https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974a

同时结合US-CERT收集的样本列表：

https://www.us-cert.gov/sites/default/files/ALERT_TA17-132A.xlsx

2. 样本分析

2.1 样本基本分析结果

大部分样本都不容易找到，但可以Hybrid Analysis搜索到样本相关信息，从已有列表中除去重复和非主程序样本以及无详细信息MD5样本共35条。

2.2 样本关联分析结果

大部分样本都在5月12号集中爆发，但其中有样本最早时间可以追溯到4月10号、11号、15号。

MD5为808182340FB1B0B0B301C998E855A7C8的样本的记录：

https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EKL/detailed-analysis.aspx

2017-04-10发现，感染特征相同（.WCRY）

大部分样本都不容易找到，但可以Hybrid Analysis搜索到样本相关信息，从已有列表中除去重复和非主程序样本以及无详细信息MD5样本共35条。

C:\Documents and Settings\test user\My Documents\GOAT9.XLS.WCRY

C:\Documents and Settings\test user\My Documents\GOAT1.XLS.WCRY

C:\Documents and Settings\test user\My Documents\GOAT7.XLS.WCRY

MD5为4DA1F312A214C07143ABEEAFB695D904的样本记录：

https://www.hybrid-analysis.com/sample/aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002c?environmentId=100

2017-04-11发现，感染特征相同(WCry_WannaCry_ransomware)

释放文件：WannaDecryptor!.exe、taskhosts.exe

网络访问：

https://www.google.com/search?q=how+to+buy+bitcoin

https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1

https://en.wikipedia.org/wiki/bitcoin

https://www.torproject.org/download/download#warning

https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

http://www.btcfrog.com/qr/bitcoinpng.php?address

发现主要在以下国家出现：

94.23.204.175 法国

128.31.0.39 美国

5.9.158.75 德国

84.80.80.69 荷兰

138.201.132.17 德国

79.172.193.32 匈牙利

91.134.139.207 法国

188.42.216.83 荷兰

51.254.115.225 法国

198.199.90.205 美国

144.76.42.239 德国

104.238.167.111 德国

MD5为B9B3965D1B218C63CD317AC33EDCB942的样本记录：

https://malwr.com/analysis/OTViYWZkYjZkYmZlNDlmMWJmMzg1ZjhjZjU4OWI2NjI/

2017-04-15发现，感染特征相同（.WCRYT、.WCRY）

释放文件：taskhcst.exe

C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg.WCRYT

C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg.WCRY

C:\Perl\c\i686-w64-mingw32\include\pchannel.h.WCRYT

C:\Perl\c\i686-w64-mingw32\include\pchannel.h.WCRY

同时通过搜索引擎，我们发现了更早的样本，时间是2017-03-30。

由于被感染系统已经下线，只能通过缓存访问：

另外根据2-spyware的描述，该样本早在2月就有流传，只是当时无方程式工具助力，传播效应没那么大：

http://www.2-spyware.com/remove-wannacryptor-ransomware-virus.html

2.3 样本综合分析结果

根据样本出现时间点和爆发期可以看到黑客早在2月就已经完成WannaCry勒索功能开发，并小范围投放测试，但不确定是否已经带有已公开的方程式工具中的漏洞利用代码，因为方程式工具是4月14号公开的。

通过已有线索同样可以判断黑客早有计划投放样本，借助方程式工具的漏洞利用代码扩大传播效应。

2.4 样本行为

主要针对5.12 勒索软件行为分析

感染了该勒索病毒的系统会具备以下特征：

1:文件被加密，后缀变成 .wnry、.wcry、.wncry 和 .wncryt。用户会看到一个下面的屏幕显示勒索信息。

2:用户的桌面会被修改成下面的背景图片:

3:具体分析：通过使用以下命令，移除 Volume Shadow 副本和备份：

Cmd /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

该勒索软件的大小为 3.4MB（3514368 字节），制作者将其命名为 WANNACRY（在样本中硬编码的字符串）。

WANNACRY 将自己写入一个在 ProgramData 文件夹下随机的字符文件夹，文件名为tasksche.exe；或者是在 C:\Windows\ 文件夹下，文件名为 mssecsvc.exe 和 tasksche.exe。

示例：

C:\ProgramData\lygekvkj256\tasksche.exe

C:\ProgramData\pepauehfflzjjtl340\tasksche.exe

C:/ProgramData/utehtftufqpkr106/tasksche.exe

c:\programdata\yeznwdibwunjq522\tasksche.exe

C:/ProgramData/uvlozcijuhd698/tasksche.exe

C:/ProgramData/pjnkzipwuf715/tasksche.exe

C:/ProgramData/qjrtialad472/tasksche.exe

c:\programdata\cpmliyxlejnh908\tasksche.exe

WannaCry 还通过使用以下命令获得访问所有文件的权限：

Icacls . /grant Everyone:F /T /C /Q

使用批处理脚本进行操作：

176641494574290.bat

批处理文件内容 (fefe6b30d0819f1a1775e14730a10e0e)

echo off

echo SET ow = WScript.CreateObject(“WScript.Shell”)> m.vbs

echo SET om = ow.CreateShortcut(“C:\

WanaDecryptor

.exe.lnk”)>> m.vbs

echo om.TargetPath = “C:\

WanaDecryptor

.exe”>> m.vbs

echo om.Save>> m.vbs

cscript.exe //nologo m.vbs

del m.vbs

del /a %0

M.vbs 的内容

SET ow = WScript.CreateObject(“WScript.Shell”)

SET om = ow.CreateShortcut(“C:\

WanaDecryptor

.exe.lnk”)

om.TargetPath = “C:\

WanaDecryptor

om.Save

4:恶意勒索软件使用域名及ip以及释放过程中的文件名

IP 地址：

• 231.221.221:9001

• 31.0.39:9191

• 202.160.69:9001

• 101.166.19:9090

• 121.65.179:9001

• 3.69.209:9001

• 0.32.144:9001

• 7.161.218:9001

• 79.179.177:9001

• 61.66.116:9003

• 47.232.237:9001

• 30.158.223:9001

• 172.193.32:443

• 229.72.16:443

域：

• iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed)

• Rphjmrpwmfv6v2e[dot]onion

• Gx7ekbenv2riucmf[dot]onion

• 57g7spgrzlojinas[dot]onion

• xxlvbrloxvriy2c5[dot]onion

• 76jdd2ir2embyv47[dot]onion

• cwwnhwhlz52maqm7[dot]onion

文件名：

• @Please_Read_Me@.txt

• @WanaDecryptor@.exe

• @WanaDecryptor@.exe.lnk

• Please Read Me!.txt (Older variant)

• C:\WINDOWS\tasksche.exe

• C:\WINDOWS\qeriuwjhrf

• bat

• bat

• bat

• [0-9]{15}.bat #regex

• !WannaDecryptor!.exe.lnk

• pky

• eky

• res

• C:\WINDOWS\system32\taskdl.exe

3. 一线处置的案例

3.1 案发背景

某政务机关大型内部专网被恶意勒索软件袭击，涉及区域可以到达各省、市、区县等。

3.2 针对存在风险的电脑及服务器处置方式：

处理方式与过程

已感染处置方式

1:针对已感染发现的电脑及服务器进行断网隔离处理，防止进一步对内网其他机器进行攻击

2:在各网段的网络设备层做隔离处理，针对445 端口进行限制

3:在内部dns服务器增加解析：万能停止域名的解析指向内部一台高质量的服务器

4:对已感染的电脑及服务进行杀毒清理，及尝试性恢复数据。

5:针对重要已有备份的业务进行恢复备份操作及更新补丁关闭端口等操作

未感染处置方式

a:个人电脑

1:隔绝网络连接

2:关闭相关端口

3:安装相关漏洞补丁程序

4:安装相关可防护的防病毒软件及更新至最新的病毒库。

b:线上服务器

1:运行免疫工具，封禁相关端口

2:对线上服务器排查是否已感染

3:安装相关漏洞补丁程序以及相关防病毒软件