[原创]蠕虫勒索软件WannaCrypt0r的行为分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]蠕虫勒索软件WannaCrypt0r的行为分析

发表于: 2017-5-15 14:28 16354

[原创]蠕虫勒索软件WannaCrypt0r的行为分析

白小菜

2017-5-15 14:28

16354

来科锐学习一年出头,x86平台刚好学完,这个周末遇到这个病毒爆发,花了点时间分析了下这个样本,发出来与看雪坛友分享.

一)样本大致行为预览

该样本执行后会随机向互联网计算机发送EternalBlue漏洞溢出程序，并释放勒索加密程序，加密计算机上.doc 、.ppt、.jpg、.sqlite3、.mdb、.bat、.der等多种类型的文件，修改文件后缀为.WNCRY类型，弹出窗口勒索用户，要求一定时间内交出赎金，才能恢复文件。

二)样本行为分析

2.1原始样本分析

定位到WinMain后，可以发现在WinMain入口处发现，原始样本会尝试连接一个非常没有规律的域名：http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

样本会通过是否能成功连接该域名，来决定是否展开后续行为。

如上图所示，若能够成功链接，则程序不展开相关行为，直接退出。否则，展开相关行为。

其中的sub_408090函数内部，在一个条件判断中分了两个功能模块：

其中，条件成立的代码块是启动服务功能等行为展开，程序第一轮并不会进入；当程序第一次启动时，执行的是条件不成立时的模块（上图中的sub_407f20），其功能主要为创建服务、释放并执行勒索的主体程序tasksche.exe /i。

创建服务过程：

该样本创建一个服务名为"mssecsvc2.0"，服务说明为"Microsoft Security Center (2.0) Service"的服务。

并在后续的行为中启动自身。

该服务的功能为：随机扫描互联网IP，利用SMB的内核级漏洞（CVE-2017-0143~CVE-2017-0148)，传播自身。这个漏洞的利用我自己还在分析，分析出来后会放在后续文章中。

原始样本，会从资源中加载、释放一个名为tasksche.exe的文件，并且以tasksche.exe /i的方式启动。

接着，我分析了tasksche.exe，它的行为如下

2.2 tasksche.exe的行为分析

tasksche.exe启动后，首先，会将自身拷贝到C:\intel\lgxbrzjmuzoytl531。

接着，tasksche.exe会创建服务，服务名及说明均为"lgxbrzjmuzoyt1531"，然后以服务的方式再启动自身。

以服务的方式启动后，tasksche.exe会以创建进程的方式执行命令：

attrib.exe +h

icacls.exe . /grant Everyone:F /T /C /Q

这两个命令用于修改文件属性相关的权限。

接着，会读取前期释放的一个名为t.wnry文件，并对其中的内容进行解密，解密后的内容为一个Dll文件，但是该dll文件并不会被写入磁盘中，而是在内存中直接执行。

我将该dll从内存中dump出(取名为crypt.dll)，发现包含了勒索软件的加密功能。对其进行了分析。

2.3 crypt.dll样本分析

crypt.dll只有一个自定义的导出函数TaskStart，该导出函数是其行为展开的入口。

进入TaskStart后，该样本会先加载Kernel32，动态获取后续需要的API。

创建互斥体"MsWinZonesCacheCounterMutex"，用于判断自身重入问题。

接着，该样本连续创建了多个线程，

他们的功能分别为：

l 将tasksc.exe加入到HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，用于开机自启动

l 遍历驱动器，并检查是否有U盘等移动存储插入

l 循环调用taskdl.exe，暂未详细分析

l 写入并执行vbs脚本，暂未详细分析

遍历磁盘并加密文件。

该样本不会加密所有的文件或文件夹（否则可能会破坏系统导致系统无法启动，或者有些文件的价值并不大）。其将要感染的文件，以后缀名判断，集中放在程序中，以下是部分截图：

过滤掉特定的文件夹及非指定后缀名的文件之后，程序会对文件进行加密。其加密流程如下，它的加密思路并不是直接用长密钥的RSA进行全部加密，可能处于效率的考虑，它的加密思路如下：

1. 被感染用户的文件，被AES加密，AES加密所使用的KEY，是根据每个文件随机生成的。随机生成的KEY，之后会被下一步的RSA 2048加密。

2. 样本在针对每一台机器上，会随机生成一对RSA 2048密钥，其中公钥(保存在00000000.pky中)用于加密上一步的AES KEY，私钥将被加密后存在文件(00000000.eky)中，具体加密方式见下一步。

3. 上一步的RSA私钥，会被另一个RSA 2048公钥加密（记作 RSA2），该RSA2的私钥仅勒索者本人知道。

知道以上思路后，就比较容易理解该样本的加密流程了：

1. 新建文件，新文件名为原始文件名.WANACRYT（T表示临时文件，用于临时处理文件加密）

2. 在新的文件头部先写入8字节的WANACRY!加密标志

3. 写入4字节的长度标识，表示后面紧跟的加密后的文件加密密钥的长度

4. 写入256字节长度的加密后的文件加密密钥(该密钥解密后为16字节长度的字符串，使用该字符串AES加密文件)

5. 写入4字节长度的勒索者作者定义的类型，不为4的文件类型记录到f.wnry文件中，用于后期免费解密。

6. 写入8字节长度的原始文件长度

7. 使用随机生成的16位字节的密钥利用AES加密算法进行加密，并写到上述内容之后。

8. 修改新文件的文件时间为源文件的时间。

9. 删除原文件，并将新文件重命名为WANACRY。

10. 若文件为可免费恢复的文件，则将文件名记录到f.wnry文件中。

因为涉及到的代码量较多，不方便截图，感兴趣的可以去看我附带的idb文件。我自己也对该样本的算法进行了还原，写成了cpp文件，供大家参考。

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

crpyt.idb （844.02kb，345次下载）
Reverse-CR24.cpp （7.08kb，370次下载）
24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c.v （3.55MB，572次下载）

收藏・22

免费・1

支持

打赏 + 2.00雪花

CCkicker

土豆粉

打赏次数 2

雪花 + 2.00

CCkicker	+1.00	2017/05/22
土豆粉	+1.00	2017/05/16

最新回复 (44) 1 2 ▶
没图你说个图雪币： 401 活跃值： (45) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 26 粉丝 1 关注私信	没图你说个图 1 2 楼先留个名，等会去班上问下是谁 2017-5-15 14:40 0
土豆粉雪币： 49 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 92 粉丝 3 关注私信	土豆粉 3 楼支持，好文。 2017-5-15 14:43 0
gotope 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	gotope 4 楼期待后续是否有技巧突破解密? 2017-5-15 15:12 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 5 楼有基础吧，没基础1年能学成这样就厉害了。 2017-5-15 15:19 0
palkiver 雪币： 204 活跃值： (894) 能力值： ( LV9，RANK：195 ) 在线值：发帖 1 回帖 107 粉丝 2 关注私信	palkiver 6 楼学长强！ 2017-5-15 15:41 0
BeMaverick 雪币： 233 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	BeMaverick 7 楼不错不错！！谢谢分享！！！ 2017-5-15 15:43 0
gotope 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	gotope 8 楼是否可以用一串数字解开所有加密, 还是有的文章说的每台电脑的解密都不同? 2017-5-15 15:52 0
叮叮猫雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	叮叮猫 9 楼厉害666 2017-5-15 17:02 0
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 10 楼感谢分享，今天公众号转发了这一文章。 2017-5-15 18:31 0
RichardE 雪币： 152 活跃值： (29) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 23 粉丝 1 关注私信	RichardE 1 11 楼谢谢分享 2017-5-15 18:42 0
wyfe 雪币： 2575 活跃值： (487) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 460 粉丝 0 关注私信	wyfe 12 楼一些细节再详细些就好了 2017-5-15 18:43 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 13 楼赞你，分析的好 2017-5-15 18:45 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 14 楼随机生成的KEY 这是重点啊，但好像说的不够清楚。是根据文件内容生成的KEY？最好能把KEY生成这一段的相关代码补充上来。 2017-5-15 18:56 0
holing 雪币： 5676 活跃值： (1303) 能力值： ( LV17，RANK：1185 ) 在线值：发帖 37 回帖 439 粉丝 79 关注私信	holing 15 15 楼 gotope 期待后续是否有技巧突破解密? rsa加密啊，公认的不对称加密。。。 2017-5-15 19:11 0
bambooqj 雪币： 781 活跃值： (1116) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 38 关注私信	bambooqj 16 楼其他的都是行文分析..一点文件结构啊.加密流程啊.给的都很模糊..这个很好. 话说他加密之后加入我未对计算机进行任何操作包括重启能否从内存痕迹中还原私钥和公钥它里边有调用释放.但是我不清楚.微软那套加密API的释放之后.他是否还能在内存中遗留痕迹. 2017-5-15 19:50 0
xingskyer 雪币： 236 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xingskyer 17 楼来学习下，谢谢分享，能再详细点就更好了。 2017-5-15 20:42 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 18 楼就没人分析下这个漏洞是怎么传播的吗？这个漏洞是怎么形成的，病毒是怎么进入电脑的，这才是关键呀？ 2017-5-15 21:01 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 19 楼病毒行为似乎没什么特别的，主要是怎么传播的，这个特别感兴趣。 2017-5-15 21:55 0
lotpe 雪币： 1010 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 72 粉丝 0 关注私信	lotpe 20 楼谢谢分享，学习了 2017-5-15 21:56 0
xingthx 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	xingthx 21 楼好文，支持。。学习了 2017-5-15 22:18 0
vaguem 雪币： 15 活跃值： (358) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 43 粉丝 1 关注私信	vaguem 22 楼 Rookietp 病毒行为似乎没什么特别的，主要是怎么传播的，这个特别感兴趣。传播用的eternalblue~发现这漏洞的人真是牛逼爆炸 2017-5-15 22:23 0
dododo 雪币： 462 活跃值： (18) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	dododo 2 23 楼厉害了，这都能分析出来 2017-5-15 22:28 0
altmanx 雪币： 145 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 98 粉丝 0 关注私信	altmanx 24 楼 666. 想起一句话: 加VMP是对分析人员最基本的尊重. 哈哈哈 2017-5-15 22:50 0
holing 雪币： 5676 活跃值： (1303) 能力值： ( LV17，RANK：1185 ) 在线值：发帖 37 回帖 439 粉丝 79 关注私信	holing 15 25 楼 Rookietp 病毒行为似乎没什么特别的，主要是怎么传播的，这个特别感兴趣。是一个已知漏洞，方程式那会爆出来的，不是病毒作者自己挖的0day，在这之前已经在metasploit框架上了 2017-5-15 22:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

白小菜

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (44) 1 2 ▶
没图你说个图雪币： 401 活跃值： (45) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 26 粉丝 1 关注私信	没图你说个图 1 2 楼先留个名，等会去班上问下是谁 2017-5-15 14:40 0
土豆粉雪币： 49 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 92 粉丝 3 关注私信	土豆粉 3 楼支持，好文。 2017-5-15 14:43 0
gotope 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	gotope 4 楼期待后续是否有技巧突破解密? 2017-5-15 15:12 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 5 楼有基础吧，没基础1年能学成这样就厉害了。 2017-5-15 15:19 0
palkiver 雪币： 204 活跃值： (894) 能力值： ( LV9，RANK：195 ) 在线值：发帖 1 回帖 107 粉丝 2 关注私信	palkiver 6 楼学长强！ 2017-5-15 15:41 0
BeMaverick 雪币： 233 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	BeMaverick 7 楼不错不错！！谢谢分享！！！ 2017-5-15 15:43 0
gotope 雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 0 关注私信	gotope 8 楼是否可以用一串数字解开所有加密, 还是有的文章说的每台电脑的解密都不同? 2017-5-15 15:52 0
叮叮猫雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	叮叮猫 9 楼厉害666 2017-5-15 17:02 0
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 10 楼感谢分享，今天公众号转发了这一文章。 2017-5-15 18:31 0
RichardE 雪币： 152 活跃值： (29) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 23 粉丝 1 关注私信	RichardE 1 11 楼谢谢分享 2017-5-15 18:42 0
wyfe 雪币： 2575 活跃值： (487) 能力值： ( LV2，RANK：85 ) 在线值：发帖 65 回帖 460 粉丝 0 关注私信	wyfe 12 楼一些细节再详细些就好了 2017-5-15 18:43 0
Vsbat 雪币： 859 活跃值： (304) 能力值： ( LV11，RANK：180 ) 在线值：发帖 9 回帖 273 粉丝 4 关注私信	Vsbat 4 13 楼赞你，分析的好 2017-5-15 18:45 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 14 楼随机生成的KEY 这是重点啊，但好像说的不够清楚。是根据文件内容生成的KEY？最好能把KEY生成这一段的相关代码补充上来。 2017-5-15 18:56 0
holing 雪币： 5676 活跃值： (1303) 能力值： ( LV17，RANK：1185 ) 在线值：发帖 37 回帖 439 粉丝 79 关注私信	holing 15 15 楼 gotope 期待后续是否有技巧突破解密? rsa加密啊，公认的不对称加密。。。 2017-5-15 19:11 0
bambooqj 雪币： 781 活跃值： (1116) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 38 关注私信	bambooqj 16 楼其他的都是行文分析..一点文件结构啊.加密流程啊.给的都很模糊..这个很好. 话说他加密之后加入我未对计算机进行任何操作包括重启能否从内存痕迹中还原私钥和公钥它里边有调用释放.但是我不清楚.微软那套加密API的释放之后.他是否还能在内存中遗留痕迹. 2017-5-15 19:50 0
xingskyer 雪币： 236 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	xingskyer 17 楼来学习下，谢谢分享，能再详细点就更好了。 2017-5-15 20:42 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 18 楼就没人分析下这个漏洞是怎么传播的吗？这个漏洞是怎么形成的，病毒是怎么进入电脑的，这才是关键呀？ 2017-5-15 21:01 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 19 楼病毒行为似乎没什么特别的，主要是怎么传播的，这个特别感兴趣。 2017-5-15 21:55 0
lotpe 雪币： 1010 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 72 粉丝 0 关注私信	lotpe 20 楼谢谢分享，学习了 2017-5-15 21:56 0
xingthx 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	xingthx 21 楼好文，支持。。学习了 2017-5-15 22:18 0
vaguem 雪币： 15 活跃值： (358) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 43 粉丝 1 关注私信	vaguem 22 楼 Rookietp 病毒行为似乎没什么特别的，主要是怎么传播的，这个特别感兴趣。传播用的eternalblue~发现这漏洞的人真是牛逼爆炸 2017-5-15 22:23 0
dododo 雪币： 462 活跃值： (18) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 46 粉丝 1 关注私信	dododo 2 23 楼厉害了，这都能分析出来 2017-5-15 22:28 0
altmanx 雪币： 145 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 98 粉丝 0 关注私信	altmanx 24 楼 666. 想起一句话: 加VMP是对分析人员最基本的尊重. 哈哈哈 2017-5-15 22:50 0
holing 雪币： 5676 活跃值： (1303) 能力值： ( LV17，RANK：1185 ) 在线值：发帖 37 回帖 439 粉丝 79 关注私信	holing 15 25 楼 Rookietp 病毒行为似乎没什么特别的，主要是怎么传播的，这个特别感兴趣。是一个已知漏洞，方程式那会爆出来的，不是病毒作者自己挖的0day，在这之前已经在metasploit框架上了 2017-5-15 22:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复