当前位置: 新闻中心 > 公司新闻

 

“永恒之蓝”勒索软件样本分析及一线案例处置分享

日期:2017-05

1.样本收集

网上收集整理了已有的样本MD5,下载地址:

https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974a

同时结合US-CERT收集的样本列表:

https://www.us-cert.gov/sites/default/files/ALERT_TA17-132A.xlsx

2.样本分析

2.1.样本基本分析结果

大部分样本都不容易找到,但可以Hybrid Analysis搜索到样本相关信息,从已有列表中除去重复和非主程序样本以及无详细信息MD5样本共35条。

2.2.样本关联分析结果

大部分样本都在5月12号集中爆发,但其中有样本最早时间可以追溯到4月10号、11号、15号

MD5为808182340FB1B0B0B301C998E855A7C8的样本的记录:

https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Ransom-EKL/detailed-analysis.aspx

2017-04-10发现,感染特征相同(.WCRY)

c:\Documents and Settings\test user\My Documents\GOAT9.XLS.WCRY

c:\Documents and Settings\test user\My Documents\GOAT1.XLS.WCRY

c:\Documents and Settings\test user\My Documents\GOAT7.XLS.WCRY

MD5为4DA1F312A214C07143ABEEAFB695D904的样本记录:

https://www.hybrid-analysis.com/sample/aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002c?environmentId=100

2017-04-11发现,感染特征相同(WCry_WannaCry_ransomware)

释放文件:WannaDecryptor!.exe、taskhosts.exe

网络访问:

https://www.google.com/search?q=how+to+buy+bitcoin

https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1

https://en.wikipedia.org/wiki/bitcoin

https://www.torproject.org/download/download#warning

https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

http://www.btcfrog.com/qr/bitcoinpng.php?address

发现主要在以下国家出现:d

94.23.204.175 法国

128.31.0.39 美国

5.9.158.75 德国

84.80.80.69 荷兰

138.201.132.17 德国

79.172.193.32 匈牙利

91.134.139.207 法国

188.42.216.83 荷兰

51.254.115.225 法国

198.199.90.205 美国

144.76.42.239 德国

104.238.167.111 德国

MD5为B9B3965D1B218C63CD317AC33EDCB942的样本记录:

https://malwr.com/analysis/OTViYWZkYjZkYmZlNDlmMWJmMzg1ZjhjZjU4OWI2NjI/

2017-04-15发现,感染特征相同(.WCRYT、.WCRY)

释放文件:taskhcst.exe

C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg.WCRYT

C:\Documents and Settings\All Users\Documents\My Pictures\Sample Pictures\Sunset.jpg.WCRY

C:\Perl\c\i686-w64-mingw32\include\pchannel.h.WCRYT

C:\Perl\c\i686-w64-mingw32\include\pchannel.h.WCRY

同时通过搜索引擎,我们发现了更早的样本,时间是 2017-03-30。

由于被感染系统已经下线,只能通过缓存访问:

特征匹配

另外根据2-spyware的描述,该样本早在2月就有流传,只是当时无方程式工具助力,传播效应没那么大:

http://www.2-spyware.com/remove-wannacryptor-ransomware-virus.html

2.3.样本综合分析结果

根据样本出现时间点和爆发期可以看到黑客早在2月就已经完成WannaCry勒索功能开发,并小范围投放测试,但不确定是否已经带有已公开的方程式工具中的漏洞利用代码,因为方程式工具是4月14号公开的。

通过已有线索同样可以判断黑客早有计划投放样本,借助方程式工具的漏洞利用代码扩大传播效应。

2.3.样本行为

主要针对5.12 勒索软件行为分析

感染了该勒索病毒的系统会具备以下特征:

1:文件被加密,后缀变成 .wnry、.wcry、.wncry 和 .wncryt。用户会看到一个下面的屏幕显示勒索信息。

2:用户的桌面会被修改成下面的背景图片:

3:具体分析:

通过使用以下命令,移除 Volume Shadow 副本和备份:

Cmd /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

该勒索软件的大小为 3.4MB(3514368 字节),制作者将其命名为 WANNACRY(在样本中硬编码的字符串)。

WANNACRY 将自己写入一个在 ProgramData 文件夹下随机的字符文件夹,文件名为tasksche.exe;或者是在 C:\Windows\ 文件夹下,文件名为 mssecsvc.exe 和 tasksche.exe。 示例:

C:\ProgramData\lygekvkj256\tasksche.exe

C:\ProgramData\pepauehfflzjjtl340\tasksche.exe

C:/ProgramData/utehtftufqpkr106/tasksche.exe

c:\programdata\yeznwdibwunjq522\tasksche.exe

C:/ProgramData/uvlozcijuhd698/tasksche.exe

C:/ProgramData/pjnkzipwuf715/tasksche.exe

C:/ProgramData/qjrtialad472/tasksche.exe

c:\programdata\cpmliyxlejnh908\tasksche.exe

WannaCry 还通过使用以下命令获得访问所有文件的权限:

Icacls . /grant Everyone:F /T /C /Q

使用批处理脚本进行操作:

176641494574290.bat

批处理文件内容 (fefe6b30d0819f1a1775e14730a10e0e)

echo off

echo SET ow = WScript.CreateObject(“WScript.Shell”)> m.vbs

echo SET om = ow.CreateShortcut(“C:\

WanaDecryptor

.exe.lnk”)>> m.vbs

echo om.TargetPath = “C:\

WanaDecryptor

.exe”>> m.vbs

echo om.Save>> m.vbs

cscript.exe //nologo m.vbs

del m.vbs

del /a %0

M.vbs 的内容

SET ow = WScript.CreateObject(“WScript.Shell”)

SET om = ow.CreateShortcut(“C:\

WanaDecryptor

.exe.lnk”)

om.TargetPath = “C:\

WanaDecryptor

om.Save

4:恶意勒索软件使用域名及ip以及释放过程中的文件名

IP 地址:

231.221.221:9001

31.0.39:9191

202.160.69:9001

101.166.19:9090

121.65.179:9001

3.69.209:9001

0.32.144:9001

7.161.218:9001

79.179.177:9001

61.66.116:9003

47.232.237:9001

30.158.223:9001

172.193.32:443

229.72.16:443

域:

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (sinkholed)

Rphjmrpwmfv6v2e[dot]onion

Gx7ekbenv2riucmf[dot]onion

57g7spgrzlojinas[dot]onion

xxlvbrloxvriy2c5[dot]onion

76jdd2ir2embyv47[dot]onion

cwwnhwhlz52maqm7[dot]onion

文件名:

@Please_Read_Me@.txt

@WanaDecryptor@.exe

@WanaDecryptor@.exe.lnk

Please Read Me!.txt (Older variant)

C:\WINDOWS\tasksche.exe

C:\WINDOWS\qeriuwjhrf

bat

bat

bat

[0-9]{15}.bat #regex

!WannaDecryptor!.exe.lnk

pky

eky

res

C:\WINDOWS\system32\taskdl.exe

3.一线处置的案例

3.1.案发背景

某政务机关大型内部专网被恶意勒索软件袭击,涉及区域可以到达各省、市、区县等。

3.2.针对存在风险的电脑及服务器处置方式:

处理方式与过程:

已感染处置方式

1:针对已感染发现的电脑及服务器进行断网隔离处理,防止进一步对内网其他机器进行攻击

2:在各网段的网络设备层做隔离处理,针对445 端口进行限制

3:在内部dns服务器增加解析:万能停止域名的解析指向内部一台高质量的服务器

4:对已感染的电脑及服务进行杀毒清理,及尝试性恢复数据。

5:针对重要已有备份的业务进行恢复备份操作及更新补丁关闭端口等操作

未感染处置方式

a:个人电脑

1:隔绝网络连接

2:关闭相关端口

3:安装相关漏洞补丁程序

4:安装相关可防护的防病毒软件及更新至最新的病毒库。

b:线上服务器

1:运行免疫工具,封禁相关端口

< p >2:对线上服务器排查是否已感染

3:安装相关漏洞补丁程序以及相关防病毒软件

相关阅读

1 不容错过 | “永恒之蓝”勒索病毒安全处置FAQ

2 “永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)

3 “永恒之蓝”勒索软件样本分析及一线案例处置分享

4 “永恒之蓝”勒索病毒凶猛 周一上班请用正确姿势打开电脑

5 最详尽“永恒之蓝”勒索病毒防范视频教程

6 一张图看懂“永恒之蓝”勒索病毒处置流程

7 紧急预警 | “永恒之蓝”勒索病毒爆发,安恒APT产品可检测

关于安恒信息

杭州安恒信息技术有限公司(DBAPPSecurity)是由国家千人计划专家范渊先生于2007年创办,是中国领先的信息安全产品和服务解决方案提供商,阿里巴巴使命级战略合作伙伴。作为云安全、应用安全、大数据安全和智慧城市安全等前沿领域的领导品牌,多次入选全球网络安全500强。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续三届世界互联网大会和G20峰会等重大活动提供全方位网络信息安全保障。

公司主营业务涵盖云计算安全,大数据安全以及应用安全、数据库安全、移动互联网安全、智慧城市安全等,包括安全态势感知、威胁情报分析、攻防实战培训、顶层设计、标准制定、课题和安全技术研究、产品研发、产品及服务综合解决方案提供等。

安恒信息通过“云监测、云防护、云审计、云应用”四大产品线构建全生命周期的一站式“安恒云”平台,为用户提供全方位、立体式的安全托管服务,帮助用户更快速、更安全、更放心的拥抱云计算和大数据,目前“安恒云”防护模式已在各大云平台成功实践并拥有上千家云客户案例。是政府军工、公检法司、运营商、金融能源、财税审计、教育医疗、互联网+等行业值得信赖的网络安全首选品牌!

 


同时用户可以下载E安全app获得最及时的安全资讯、预警信息及风险威胁指数等等,下载地址:http://www.easyaq.com/


如果有读者就文章内容希望与安恒信息的专家进行交流,欢迎拨打我们的客服热线进行垂询:400-6059-110。
或者通过以下方式联系我们。
电子邮件 :info@dbAppsecurity.com.cn
关注安恒信息官方微信号:DBApp2013 即可与我们的客服人员即时沟通