WANNACRY病毒与永恒之蓝

“永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”。 Eternalblue通过TCP端口445和139来利用SMBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。WannaCry病毒就是利用EternalBlue漏洞进行传播,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,大范围超快速扩散。

WANNACRY病毒的实现过程

勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。病毒加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可破解。

分析WANNACRY病毒

木马母体mssecsvc.exe

判断开关

木马在网络上设置了一个开关,若本地计算机能够成功访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,退出进程,不再进行传播感染。
2017年5月13日晚间,由英国研究员于无意间发现的WannaCry隐藏开关域名,遏制了病毒的进一步大规模扩散。这仅仅阻止了病毒的传播,已经被感染的电脑依然被攻击,文件会被加密锁死。

蠕虫行为

a)	通过创建服务启动,每次开机都会自启动。
b)	从木马自身读取MS17_010漏洞利用代码
c)	创建两个线程,分别扫描内网和外网的IP,开始进程蠕虫传播感染
d)	对公网随机ip地址445端口进行扫描感染;对于局域网,则直接扫描当前计算机所在的网段进行感染。
e)	感染过程中,尝试连接445端口。如果连接成功,则对该地址尝试进行漏洞攻击感染。
f)	释放敲诈者tasksche.exe。

tasksche.exe

1)	解压释放大量敲诈者模块及配置文件,解压密码为WNcry@2ol7
2)	首先关闭指定进程,避免某些重要文件因被占用而无法感染 遍历磁盘文件,避开含有ProgramData,Intel,WINDOWS,Program Files,Program Files (x86),AppData,Local,Temp,Local Settings,Temp字符的目录,同时避开感染病毒释放出来的说明文档,加密178种扩展名文件。
3)	完成所有文件加密后释放说明文档,弹出勒索界面,需支付价值数百美元不等的比特币到指定的比特币钱包地址,三个比特币钱包地址硬编码于程序中。

解密程序

1)	病毒解密程序中内置了其中一个公钥的配对私钥,可以用于解密使用该公钥加密的几个文件,用于向用户“证明”程序能够解密文件,诱导用户支付比特币。
2)	解密:程序判断本地是否存在“00000000.dky”文件,该文件为真实解密所需私钥文件。若存在,则通过解密测试文件来检测密钥文件是否正确。若正确,则解密。若错误或不存在,病毒将程判断解压后的Tor目录下是否存在taskhsvc.exe。若不存在,则生成该文件,并且调用CreateProcessA拉起该进程。
3)	该程序主要为tor匿名代理工具,该工具启动后会监听本地9050端口,病毒通过本地代理通信实现与服务器连接。在点击“Check Payment”按钮后,由服务端判断是否下发解密所需私钥。若私钥下发,则会在本地生成解密所需要的dky文件。
4)	程序便可利用该dky文件进行解密。不过,到目前为止,未曾有解密成功的案例。

Wanacry加解密过程

文件加密

1)	文件是使用AES进行加密的。 
2)	加密文件所使用的AES密钥是随机生成的,即每个文件所使用的密钥都是不同的。 
3)	AESKEY通过RSA加密后,保存在加密后文件的文件头中。
4)	敲诈者会根据文件类型、大小、路径等来判断文件对用户的重要性,进而选择对重要文件的先行进行加密并擦写原文件,对认为不太重要的文件,仅作删除处理。

文件删除及擦写逻辑

1)	对于桌面、文档、所有人\桌面、所有人\文档四个文件夹下小于200M的文件,均进行加密后擦写原文件。 
2)	对于其他目录下小于200M的文件,不会进行擦写,而是直接删除,或者移动到back目录中。 
3)	移动到back后,的文件重命名为%d.WNCRYT,加密程序每30秒调用taskdl.exe对back目录下的这些文件定时删除。 
4)	对于大于200M的文件,在原文件的基础上将文件头部64KB移动到尾部,并生成加密文件头,保存为“WNCRYT”文件。而后,创建“WNCRY”文件,将文件头写入,进而按照原文件大小,对该“WNCRY”文件进行填充。

问题:

1.	对称密码技术和公钥密码技术的作用。
三组公钥密匙,作用分别是:1.一种用于加密随机生成的AESKEY;2.一种用于加密文件,是可以给被入侵用户展示的;3. 最后也是用于加密文件,支付比特币后才能解码的文件。

AES对称加密:用于加密文件。

2.受害者支付赎金后是否会恢复文件?
即使支付赎金,也很难保证能够得到解密密匙。WannaCry病毒的作者很难确定是哪台电脑的所有者支付了赎金,给出相应的解密密匙来解密。

分类:

技术点:

相关文章: