223
“永恒之藍”勒索軟件樣本分析及一線案例處置分享
1. 樣本收集
網上收集整理了已有的樣本MD5,下載地址:
https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974a
同時結合US-CERT收集的樣本列表:
https://www.us-cert.gov/sites/default/files/ALERT_TA17-132A.xlsx
2. 樣本分析
2.1 樣本基本分析結果
大部分樣本都不容易找到,但可以Hybrid Analysis搜索到樣本相關信息,從已有列表中除去重複和非主程序樣本以及無詳細信息MD5樣本共35條。
2.2 樣本關聯分析結果
大部分樣本都在5月12號集中爆發,但其中有樣本最早時間可以追溯到4月10號、11號、15號。
MD5為808182340FB1B0B0B301C998E855A7C8的樣本的記錄:
https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EKL/detailed-analysis.aspx
2017-04-10發現,感染特征相同(.WCRY)
大部分樣本都不容易找到,但可以Hybrid Analysis搜索到樣本相關信息,從已有列表中除去重複和非主程序樣本以及無詳細信息MD5樣本共35條。
C:\Documents and Settings\test user\My Documents\GOAT9.XLS.WCRY
C:\Documents and Settings\test user\My Documents\GOAT1.XLS.WCRY
C:\Documents and Settings\test user\My Documents\GOAT7.XLS.WCRY
MD5為4DA1F312A214C07143ABEEAFB695D904的樣本記錄:
https://www.hybrid-analysis.com/sample/aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002c?environmentId=100
2017-04-11發現,感染特征相同(WCry_WannaCry_ransomware)
釋放文件:WannaDecryptor!.exe、taskhosts.exe
網絡訪問:
https://www.google.com/search?q=how+to+buy+bitcoin
https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
https://en.wikipedia.org/wiki/bitcoin
https://www.torproject.org/download/download#warning
https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
https://www.btcfrog.com/qr/bitcoinpng.php?address
發現主要在以下國家出現:
94.23.204.175 法國
128.31.0.39 美國
5.9.158.75 德國
84.80.80.69 荷蘭
138.201.132.17 德國
79.172.193.32 匈牙利
91.134.139.207 法國
188.42.216.83 荷蘭
51.254.115.225 法國
198.199.90.205 美國
144.76.42.239 德國
104.238.167.111 德國
MD5為B9B3965D1B218C63CD317AC33EDCB942的樣本記錄:
https://malwr.com/analysis/OTViYWZkYjZkYmZlNDlmMWJmMzg1ZjhjZjU4OWI2NjI/
2017-04-15發現,感染特征相同(.WCRYT、.WCRY)
釋放文件:taskhcst.exe
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg.WCRYT
C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg.WCRY
C:\Perl\c\i686-w64-mingw32\include\pchannel.h.WCRYT
C:\Perl\c\i686-w64-mingw32\include\pchannel.h.WCRY
同時通過搜索引擎,我們發現了更早的樣本,時間是2017-03-30。
由於被感染係統已經下線,隻能通過緩存訪問:
另外根據2-spyware的描述,該樣本早在2月就有流傳,隻是當時無方程式工具助力,傳播效應沒那麼大:
https://www.2-spyware.com/remove-wannacryptor-ransomware-virus.html
2.3 樣本綜合分析結果
根據樣本出現時間點和爆發期可以看到黑客早在2月就已經完成WannaCry勒索功能開發,並小範圍投放測試,但不確定是否已經帶有已公開的方程式工具中的漏洞利用代碼,因為方程式工具是4月14號公開的。
通過已有線索同樣可以判斷黑客早有計劃投放樣本,借助方程式工具的漏洞利用代碼擴大傳播效應。
2.4 樣本行為
主要針對5.12 勒索軟件行為分析
感染了該勒索病毒的係統會具備以下特征:
1:文件被加密,後綴變成 .wnry、.wcry、.wncry 和 .wncryt。用戶會看到一個下麵的屏幕顯示勒索信息。
2:用戶的桌麵會被修改成下麵的背景圖片:
3:具體分析:通過使用以下命令,移除 Volume Shadow 副本和備份:
Cmd /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
該勒索軟件的大小為 3.4MB(3514368 字節),製作者將其命名為 WANNACRY(在樣本中硬編碼的字符串)。
WANNACRY 將自己寫入一個在 ProgramData 文件夾下隨機的字符文件夾,文件名為tasksche.exe;或者是在 C:\Windows\ 文件夾下,文件名為 mssecsvc.exe 和 tasksche.exe。
示例:
C:\ProgramData\lygekvkj256\tasksche.exe
C:\ProgramData\pepauehfflzjjtl340\tasksche.exe
C:/ProgramData/utehtftufqpkr106/tasksche.exe
c:\programdata\yeznwdibwunjq522\tasksche.exe
C:/ProgramData/uvlozcijuhd698/tasksche.exe
C:/ProgramData/pjnkzipwuf715/tasksche.exe
C:/ProgramData/qjrtialad472/tasksche.exe
c:\programdata\cpmliyxlejnh908\tasksche.exe
WannaCry 還通過使用以下命令獲得訪問所有文件的權限:
Icacls . /grant Everyone:F /T /C /Q
使用批處理腳本進行操作:
176641494574290.bat
批處理文件內容 (fefe6b30d0819f1a1775e14730a10e0e)
echo off
echo SET ow = WScript.CreateObject(“WScript.Shell”)> m.vbs
echo SET om = ow.CreateShortcut(“C:\
WanaDecryptor
.exe.lnk”)>> m.vbs
echo om.TargetPath = “C:\
WanaDecryptor
.exe”>> m.vbs
echo om.Save>> m.vbs
cscript.exe //nologo m.vbs
del m.vbs
del /a %0
M.vbs 的內容
SET ow = WScript.CreateObject(“WScript.Shell”)
SET om = ow.CreateShortcut(“C:\
WanaDecryptor
.exe.lnk”)
om.TargetPath = “C:\
WanaDecryptor
om.Save
4:惡意勒索軟件使用域名及ip以及釋放過程中的文件名
IP 地址:
• 231.221.221:9001
• 31.0.39:9191
• 202.160.69:9001
• 101.166.19:9090
• 121.65.179:9001
• 3.69.209:9001
• 0.32.144:9001
• 7.161.218:9001
• 79.179.177:9001
• 61.66.116:9003
• 47.232.237:9001
• 30.158.223:9001
• 172.193.32:443
• 229.72.16:443
域:
• iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed)
• Rphjmrpwmfv6v2e[dot]onion
• Gx7ekbenv2riucmf[dot]onion
• 57g7spgrzlojinas[dot]onion
• xxlvbrloxvriy2c5[dot]onion
• 76jdd2ir2embyv47[dot]onion
• cwwnhwhlz52maqm7[dot]onion
文件名:
• @Please_Read_Me@.txt
• @WanaDecryptor@.exe
• @WanaDecryptor@.exe.lnk
• Please Read Me!.txt (Older variant)
• C:\WINDOWS\tasksche.exe
• C:\WINDOWS\qeriuwjhrf
• bat
• bat
• bat
• [0-9]{15}.bat #regex
• !WannaDecryptor!.exe.lnk
• pky
• eky
• res
• C:\WINDOWS\system32\taskdl.exe
3. 一線處置的案例
3.1 案發背景
某政務機關大型內部專網被惡意勒索軟件襲擊,涉及區域可以到達各省、市、區縣等。
3.2 針對存在風險的電腦及服務器處置方式:
處理方式與過程
已感染處置方式
1:針對已感染發現的電腦及服務器進行斷網隔離處理,防止進一步對內網其他機器進行攻擊
2:在各網段的網絡設備層做隔離處理,針對445 端口進行限製
3:在內部dns服務器增加解析:萬能停止域名的解析指向內部一台高質量的服務器
4:對已感染的電腦及服務進行殺毒清理,及嚐試性恢複數據。
5:針對重要已有備份的業務進行恢複備份操作及更新補丁關閉端口等操作
未感染處置方式
a:個人電腦
1:隔絕網絡連接
2:關閉相關端口
3:安裝相關漏洞補丁程序
4:安裝相關可防護的防病毒軟件及更新至最新的病毒庫。
b:線上服務器
1:運行免疫工具,封禁相關端口
2:對線上服務器排查是否已感染
3:安裝相關漏洞補丁程序以及相關防病毒軟件
擴展閱讀
1 不容錯過 | “永恒之藍”勒索病毒安全處置FAQ
2 “永恒之藍”勒索病毒安全事件應急指導手冊(附工具包)
3 “永恒之藍”勒索病毒凶勐 周一上班請用正確姿勢打開電腦
4 最詳盡“永恒之藍”勒索病毒防範視頻教程
5 一張圖看懂“永恒之藍”勒索病毒處置流程
- END -
最後更新:2017-05-15 10:02:18