病毒名稱: Trojan.WannaCry.i
病毒類型: 木馬|后門
殼信息: 無殼,此病毒沒有加殼行為
傳播方式:主機系統漏洞利用傳播
影響系統: Windows XP, Windows Server 2003/x,Windows vista,Windows 7,Windows 8等 沒有安裝MS-17-010補丁的Windows系統
病毒介紹:
近日全球多家組織遭到了一次嚴重的勒索軟件攻擊,西班牙的Telefonica、英國的國民保健署、以及美國的FedEx等組織紛紛中招。此次攻擊的惡意軟件是一種名為“WannaCry”的勒索軟件變種。
該惡意軟件會掃描電腦上的TCP 445端口(Server Message Block/SMB),以類似于蠕蟲病毒的方式傳播,攻擊主機并加密主機上存儲的文件,然后要求以比特幣的形式支付贖金。此外,WannaCry樣本使用了DOUBLEPULSAR,這是一個由來已久的后門程序,通常被用于在以前被感染的系統上訪問和執行代碼。這一后門程序允許在系統上安裝和激活惡意軟件等其他軟件。它通常在惡意軟件成功利用SMB漏洞后被植入,后者已在Microsoft安全公告MS17-010中被修復。
WannaCry并不僅僅是利用與這一攻擊框架相關的ETERNALBLUE(永恒之藍)模塊,根據動態特征不同還可分ETERNALROMANCE(永恒羅曼史)和ETERNALCHAMPION(永恒冠軍)兩種漏洞溢出模塊可能被利用,它還會掃描可訪問的服務器,檢測是否存在DOUBLEPULSAR后門程序。如果發現有主機被植入了這一后門程序,它會利用現有的后門程序功能,并使用它來通過WannaCry感染系統。如果系統此前未被感染和植入DOUBLEPULSAR,該惡意軟件將使用ETERNALBLUE嘗試利用SMB漏洞。這就造成了近期在互聯網上爆發的大規模勒索蠕蟲病毒的事件。
病毒危害:
1. 主要針對文檔、圖片、視頻、音頻文件進行加密,以此來勒索用戶付費解密。
2. 破壞操作系統還原功能設置,使操作系統還原功能失效。
3. 病毒本身會結束操作系統部分系統工具,使用戶無法及時阻止病毒運行。
文件系統變化:
新增病毒文件:(包含加密、解密、提權、密鑰等病毒相關加載模塊)
被感染主機會遍歷磁盤目錄,加密以下類型的文件,修改后綴名為.WNCRY
注冊表變化:
創建注冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
修改注冊表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0\Start Start 值: 0x00000002(2)
修改注冊表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0\ImagePath
ImagePath 值: C:\Documents and Settings\Administrator\桌面\sample -m security
網絡癥狀:
1、病毒會訪問以下網址:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
如果病毒訪問成功,病毒直接退出,病毒主體不在主機運行,不發作。如果訪問失敗,病毒開始運行,對主機文件進行加密,破壞用戶文件。
2、利用TCP 445端口(Server Message Block/SMB)進行病毒傳播
隨機生成IP,并利用漏洞攻擊其它未感染主機,惡性傳播。
-> [55.228.189.198 : 445 (microsoft-ds)]
-> [52.166.248.116 : 445 (microsoft-ds)]
-> [201.110.157.85 : 445 (microsoft-ds)]
-> [116.153.193.137 : 445 (microsoft-ds)]
-> [114.110.132.72 : 445 (microsoft-ds)]
-> [137.191.174.152 : 445 (microsoft-ds)]
-> [80.237.60.1 : 445 (microsoft-ds)]
-> [153.75.110.68 : 445 (microsoft-ds)]
... ...
病毒主要行為:
1、初始文件sample.exe會釋放并執行tasksche.exe文件,然后鏈接網絡http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 。
2、如果鏈接成功,病毒不發作。如果鏈接不成功,創建mssecsvc2.0服務并設置自啟動,病毒開始運行發作。判斷參數是否小于2,以兩種方式執行mssecsvc.exe文件。再次執行會檢查被感染電腦的IP地址,并嘗試聯接到相同子網內每個IP地址的TCP 445端口,進行漏洞攻擊。
3、流程一:
a、創建服務,服務名稱: mssecsvc2.0,參數為當前程序路徑 –m security。
b、獲取kernel32.dll地址,定位調用函數地址。
c、查找資源,釋放樣本的加密模塊,拼接字符串為釋放路徑,createfile并啟動程序。
4、流程二:
a、啟動服務進入服務函數,創建線程 執行相應功能。
b、攻擊線程中構造exploit 發送漏洞利用程序數據包。
c、發送數據包,利用漏洞攻擊攻擊隨機生成的IP。
5、加密模塊啟動:
a、復制自身到C:\ProgramData\dhoodadzaskflip373(文件夾名通過計算機名稱和隨機值計算出來存在差異)目錄下,寫入注冊表信息設置自啟動項。
b、獲取資源目錄中相關數據,釋放其功能模塊到當前目錄(包括提權模塊taskse.exe 、 清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@),給當前目錄下文件設置隱藏屬性和所有用戶訪問權限。
c、整個加密過程采用RSA+AES的方式完成,其中RSA加密過程使用了微軟的CryptAPI,AES代碼靜態編譯到dll。
d、遍歷查找磁盤文件,進行文件加密,在每個目錄下創建@WanaDecryptor@.exe。
e、根據文件后綴名,比較文件類型是否為其中類型,進行加密處理。
f、生成WNCRY后綴的加密文件。
6、解密模塊:
解密模塊運行之后會刪除Windows自動備份,無法還原被加密的文件。
彈出被加密勒索的提示界面
樣本詳細分析報告(見:WannaCrypt詳細分析報告)
病毒類型: 木馬|后門
殼信息: 無殼,此病毒沒有加殼行為
傳播方式:主機系統漏洞利用傳播
影響系統: Windows XP, Windows Server 2003/x,Windows vista,Windows 7,Windows 8等 沒有安裝MS-17-010補丁的Windows系統
病毒介紹:
近日全球多家組織遭到了一次嚴重的勒索軟件攻擊,西班牙的Telefonica、英國的國民保健署、以及美國的FedEx等組織紛紛中招。此次攻擊的惡意軟件是一種名為“WannaCry”的勒索軟件變種。
該惡意軟件會掃描電腦上的TCP 445端口(Server Message Block/SMB),以類似于蠕蟲病毒的方式傳播,攻擊主機并加密主機上存儲的文件,然后要求以比特幣的形式支付贖金。此外,WannaCry樣本使用了DOUBLEPULSAR,這是一個由來已久的后門程序,通常被用于在以前被感染的系統上訪問和執行代碼。這一后門程序允許在系統上安裝和激活惡意軟件等其他軟件。它通常在惡意軟件成功利用SMB漏洞后被植入,后者已在Microsoft安全公告MS17-010中被修復。
WannaCry并不僅僅是利用與這一攻擊框架相關的ETERNALBLUE(永恒之藍)模塊,根據動態特征不同還可分ETERNALROMANCE(永恒羅曼史)和ETERNALCHAMPION(永恒冠軍)兩種漏洞溢出模塊可能被利用,它還會掃描可訪問的服務器,檢測是否存在DOUBLEPULSAR后門程序。如果發現有主機被植入了這一后門程序,它會利用現有的后門程序功能,并使用它來通過WannaCry感染系統。如果系統此前未被感染和植入DOUBLEPULSAR,該惡意軟件將使用ETERNALBLUE嘗試利用SMB漏洞。這就造成了近期在互聯網上爆發的大規模勒索蠕蟲病毒的事件。
病毒危害:
1. 主要針對文檔、圖片、視頻、音頻文件進行加密,以此來勒索用戶付費解密。
2. 破壞操作系統還原功能設置,使操作系統還原功能失效。
3. 病毒本身會結束操作系統部分系統工具,使用戶無法及時阻止病毒運行。
文件系統變化:
新增病毒文件:(包含加密、解密、提權、密鑰等病毒相關加載模塊)
被感染主機會遍歷磁盤目錄,加密以下類型的文件,修改后綴名為.WNCRY
注冊表變化:
創建注冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
修改注冊表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0\Start Start 值: 0x00000002(2)
修改注冊表值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssecsvc2.0\ImagePath
ImagePath 值: C:\Documents and Settings\Administrator\桌面\sample -m security
網絡癥狀:
1、病毒會訪問以下網址:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
如果病毒訪問成功,病毒直接退出,病毒主體不在主機運行,不發作。如果訪問失敗,病毒開始運行,對主機文件進行加密,破壞用戶文件。
2、利用TCP 445端口(Server Message Block/SMB)進行病毒傳播
隨機生成IP,并利用漏洞攻擊其它未感染主機,惡性傳播。
-> [55.228.189.198 : 445 (microsoft-ds)]
-> [52.166.248.116 : 445 (microsoft-ds)]
-> [201.110.157.85 : 445 (microsoft-ds)]
-> [116.153.193.137 : 445 (microsoft-ds)]
-> [114.110.132.72 : 445 (microsoft-ds)]
-> [137.191.174.152 : 445 (microsoft-ds)]
-> [80.237.60.1 : 445 (microsoft-ds)]
-> [153.75.110.68 : 445 (microsoft-ds)]
... ...
病毒主要行為:
1、初始文件sample.exe會釋放并執行tasksche.exe文件,然后鏈接網絡http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 。
2、如果鏈接成功,病毒不發作。如果鏈接不成功,創建mssecsvc2.0服務并設置自啟動,病毒開始運行發作。判斷參數是否小于2,以兩種方式執行mssecsvc.exe文件。再次執行會檢查被感染電腦的IP地址,并嘗試聯接到相同子網內每個IP地址的TCP 445端口,進行漏洞攻擊。
3、流程一:
a、創建服務,服務名稱: mssecsvc2.0,參數為當前程序路徑 –m security。
b、獲取kernel32.dll地址,定位調用函數地址。
c、查找資源,釋放樣本的加密模塊,拼接字符串為釋放路徑,createfile并啟動程序。
4、流程二:
a、啟動服務進入服務函數,創建線程 執行相應功能。
b、攻擊線程中構造exploit 發送漏洞利用程序數據包。
c、發送數據包,利用漏洞攻擊攻擊隨機生成的IP。
5、加密模塊啟動:
a、復制自身到C:\ProgramData\dhoodadzaskflip373(文件夾名通過計算機名稱和隨機值計算出來存在差異)目錄下,寫入注冊表信息設置自啟動項。
b、獲取資源目錄中相關數據,釋放其功能模塊到當前目錄(包括提權模塊taskse.exe 、 清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@),給當前目錄下文件設置隱藏屬性和所有用戶訪問權限。
c、整個加密過程采用RSA+AES的方式完成,其中RSA加密過程使用了微軟的CryptAPI,AES代碼靜態編譯到dll。
d、遍歷查找磁盤文件,進行文件加密,在每個目錄下創建@WanaDecryptor@.exe。
e、根據文件后綴名,比較文件類型是否為其中類型,進行加密處理。
f、生成WNCRY后綴的加密文件。
6、解密模塊:
解密模塊運行之后會刪除Windows自動備份,無法還原被加密的文件。
彈出被加密勒索的提示界面
樣本詳細分析報告(見:WannaCrypt詳細分析報告)