淺談WannaCry勒索病毒的分析及防禦
01
背 景
近期,我公司一家大型製造行業用戶突發了信息安全事件,接到威脅響應需求後,端御科技RTShield Team立即啟動威脅響應服務,第一時間赴現場排查異常和診斷問題,從內部網路出現大量網路請求、負載均衡超出最大響應並導致網路中斷及部分電腦藍屏等現象,我們首先推斷蠕蟲病毒或殭屍網路病毒的可能性。通過防火牆流量進一步查看,選定一台異常主機進行剖析,最終確定為WannaCry勒索變種,也就是我們本次專題需要分析的主角。
02
病毒主要行為分析
WannaCry病毒會依賴於windowsms17-010漏洞在windows區域網或廣域網內傳播,被感染的宿主會發送大量的smb請求包(協議目標埠445)進行探測、感染和傳播,同時會在被感染主機上尋找有價值的數據文件進行加密,對主機使用者進行勒索。
?mssecsvc.exe病毒2.0母體,也是病毒實施感染的主程序。
?病毒母體掃描區域網與廣域網,並通過MS17-010漏洞進行感染傳播。
?mssecsvc.exe釋放tasksche.exe程序,tasksche.exe敲詐加密主程序,現有版本運行會出錯,所以不會進行加密文件進行敲詐勒索。
?mssecsvc.exe病毒會通過MS17-010(永恆之藍漏洞)進行傳播時,在漏洞利用失敗的情況下會導致目標主機藍屏。
?mssecsvr.exe 是病毒2.1母體,該程序行為與mssecsvc.exe行為一致,只是釋放的tasksche.exe程序有所區別。
?mssecsvr.exe 釋放的tasksche.exe是個自解壓程序,程序在解壓時產生錯誤。
03
病毒主要行為詳細逆向分析
>> mssecsvc.exe病毒母體
病毒兩個服版本服務信息
病毒主要功能函數sub_408090。
病毒主體通過判斷傳入參數個數進行兩種功能。功能1:函數sub_407F20將自已註冊為服務自啟動,並釋放tasksche.exe敲詐加密主程序。功能2:啟動服務並執行區域網與廣域網的網路感染。
功能1:安裝mssecsvc2.0服務,服務啟動參數 –m security,當服務啟動後病毒通過判斷參數執行進行網路掃描傳播。
尋找自身R資源信息,該資源為tasksche.exe病毒主程序內容,並釋放到C:Windows asksche.exe程序,同時啟動該程序。
功能2:開啟服務進行網路掃描傳輸。在服務中開啟兩個獨立線程進行掃描並感染。
線程一通過獲取自身網卡信息,構造內網地址,測試連接,如果連接成功就進行感染。
構造外網IP地址,並進行測試連接,如果連接成功進行感染。
以上為測試連接IP地址的埠號16進位1BD,10進位為445埠。
>> tasksche.exe敲詐加密主程序分析
tasksche.exe主程序為RAR自解壓包:msg 為程序配置文件,解壓密碼為WNcry@2ol7。
但該變種程序在windows執行失敗,故沒有進行相關的加密勒索行為。
mssecsvr.exe程序是病毒2.1版本,病毒母體程序與2.0版本mssecsvc.exe程序一致。只是釋放的tasksche.exe程序不同。
以上可以看出mssecsvr.exe釋放的tasksche.exe程序大致行為,程序通過自解壓執行腳本在解壓完後運行eee.exe程序,但是該壓縮包有釋放時出現問題,故不能深入進行分析。
04
網路內被感染主機列表
通過分析流量之後,統計了內網向443發包主機,不難發現大量發包的主機都應該已感染該病毒。
以上為1178台內網主機向外大量連接445埠,這些內網地址相對應主機都已感染此病毒。
上圖為某已感染病毒的終端,系統日誌信息中發現的服務啟動信息。據此估計該PC中病毒時間可能為2018.5.2號。
根據以上信息,此病毒最有可能是通過公司內部下截某些帶病毒程序導致內網大規模感染。
05
可能造成的危害分析
根據目前該病毒的感染態勢分析,辦公網內已經有1178台主機被蠕蟲感染,可能會造成如下危害:
?病毒流量形成flood洪流,阻塞網路出口,影響正常網路訪問。
?病毒在內網不斷進行溢出和感染操作,會導致受害主機藍屏等現象,嚴重影響正常工作。
?病毒加密宿主機文件功能會導致主機上重要的文件被加密,造成經濟損失。
?如該病毒擴散到數據中心等其他網路鎖定資料庫文件,會造成巨大的經濟損失。
06
安全解決方案
?停止刪除mssecsvc2.0,mssecsvc2.1服務。
?刪除C:WIDNOWSSYSTEM32mssecsvr.exe -m security服務文件,文件以服務信息為標準。
?安裝相應的補丁。
極矛之端鑄盾之御
滲透測試 / 威脅響應 / APT防禦 /
物聯網安全 / 區塊鏈安全
TAG:端御科技 |