權威報告：WanaCrypt0r勒索蠕蟲完全分析報告

日期：2017-5-13

0x1 前言

360互聯網安全中心近日發現全球多個國家和地區的機構及個人電腦遭受到了一款新型勒索軟件攻擊，並於5月12日國內率先發布緊急預警，外媒和多家安全公司將該病毒命名為“WanaCrypt0r”（直譯：“想哭勒索蠕蟲”），常規的勒索病毒是一種趨利明顯的惡意程序，它會使用加密算法加密受害者電腦內的重要文件，向受害者勒索贖金，除非受害者交出勒索贖金，否則加密文件無法被恢復，而新的“想哭勒索蠕蟲”尤其致命，它利用了竊取自美國國家安全局的黑客工具EternalBlue（直譯：“永恆之藍”）實現了全球範圍內的快速傳播，在短時間內造成了巨大損失。360追日團隊對“想哭勒索蠕蟲”國內首家進行了完全的技術分析，幫助大家深入瞭解此次攻擊！

0x2 抽樣分析樣本信息

MD5: DB349B97C37D22F5EA1D1841E3C89EB4

文件大小: 3,723,264

影響面：除Windows 10外，所有未打MS-17-010補丁的Windows系統都可能被攻擊

功能: 釋放加密程序，使用RSA+AES加密算法對電腦文件進行加密勒索，通過MS17-010漏洞實現自身的快速感染和擴散。

0x03 蠕蟲的攻擊流程

該蠕蟲病毒使用了ms17-010漏洞進行了傳播，一旦某臺電腦中招，相鄰的存在漏洞的網絡主機都會被其主動攻擊，整個網絡都可能被感染該蠕蟲病毒，受害感染主機數量最終將呈幾何級的增長。其完整攻擊流程如下

0x04 蠕蟲啟動邏輯分析

1.蠕蟲啟動時將連接固定url: http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

a)如果連接成功,則退出程序

b)連接失敗則繼續攻擊

2.接下來蠕蟲開始判斷參數個數,小於2時,進入安裝流程;大於等於2時,進入服務流程.

a)安裝流程

i.創建服務,服務名稱: mssecsvc2.0

參數為當前程序路徑 –m security

ii.釋放並啟動exe程序

移動當前 C:\WINDOWS\tasksche.exe到 C:\WINDOWS\qeriuwjhrf

釋放自身的1831資源(MD5: 84C82835A5D21BBCF75A61706D8AB549),到C:\WINDOWS\tasksche.exe,並以 /i參數啟動

b)服務流程

i.服務函數中執行感染功能,執行完畢後等待24小時退出.

ii.感染功能

初始化網絡和加密庫,初始化payload dll內存.

a)Payload包含2個版本,x86和x64

b)功能為釋放資源到c:\windows\mssecsvc.exe並執行

啟動線程,在循環中向局域網的隨機ip發送SMB漏洞利用代碼

0x05 蠕蟲利用漏洞確認

通過對其中的發送的SMB包進行分析，我們發現其使用漏洞攻擊代碼和https://github.com/rapid7/metasploit-framework 近乎一致，為Eternalblue工具使用的攻擊包。

蠕蟲 SMB數據包:

Eternalblue工具使用的MS17-010 SMB數據包:

https://github.com/RiskSense-Ops/MS17-010/tree/master/exploits/eternalblue/orig_shellcode

文件內容在DB349B97C37D22F5EA1D1841E3C89EB4中出現

orig_shellcode文件內容:

DB349B97C37D22F5EA1D1841E3C89EB4 文件:

0x06 蠕蟲釋放文件分析

蠕蟲成功啟動後將開始釋放文件，流程如下：

釋放文件與功能列表，如下：

0x07 關鍵勒索加密過程分析

蠕蟲會釋放一個加密模塊到內存，直接在內存加載該DLL。DLL導出一個函數TaskStart用於啟動整個加密的流程。程序動態獲取了文件系統和加密相關的API函數，以此來躲避靜態查殺。

整個加密過程採用RSA+AES的方式完成，其中RSA加密過程使用了微軟的CryptAPI，AES代碼靜態編譯到dll。加密流程如下圖所示。

使用的密鑰概述：

目前加密的文件後綴名列表：

值得注意的是，在加密過程中，程序會隨機選取一部分文件使用內置的RSA公鑰來進行加密，這裡的目的是解密程序提供的免費解密部分文件功能。

能免費解密的文件路徑在文件f.wnry中

0x08 蠕蟲贖金解密過程分析

首先，解密程序通過釋放的taskhsvc.exe向服務器查詢付款信息，若用戶已經支付過，則將eky文件發送給作者，作者解密後獲得dky文件，這就是解密之後的Key

解密流程與加密流程相反，解密程序將從服務器獲取的dky文件中導入Key

可以看到，當不存在dky文件名的時候，使用的是內置的Key，此時是用來解密免費解密的文件使用的。

之後解密程序從文件頭讀取加密的數據，使用導入的Key調用函數CryptDecrypt解密，解密出的數據作為AES的Key再次解密得到原文件。

總結

該蠕蟲在勒索類病毒中全球首例使用了遠程高危漏洞進行自我傳播複製，危害不小於衝擊波和震盪波蠕蟲，並且該敲詐者在文件加密方面的編程較為規範，流程符合密碼學標準，因此在作者不公開私鑰的情況下，很難通過其他手段對勒索文件進行解密，同時微軟已對停止安全更新的xp和2003操作系統緊急發佈了漏洞補丁，請大家通過更新MS17-010漏洞補丁來及時防禦蠕蟲攻擊。