2017年5月12日,我们检测到一种新的勒索软件,它通过利用之前已被修复的漏洞,以蠕虫方式传播。虽然大部分计算机会自动应用安全更新,但某些用户和企业可能会选择推迟安装补丁;不幸的是,这种名为“WannaCrypt”的勒索软件貌似已经影响到了未安装相应漏洞补丁的计算机。目前攻击范围正在不断扩大,因此我们强烈建议未采取保护措施的用户安装MS17-010漏洞补丁。
微软的反恶意程序遥测机构立即获取了本次事件的信号:当其发生时,我们的专家系统关注并分析了这种新攻击的环境需求,这使得Windows反病毒防护程序(Windows Defender Antivirus)能够进行实时防护;通过自动分析、机器学习以及预测建模,我们能够迅速地对抗这种恶意程序。
在本文中,我们提供了对端到端勒索软件攻击的早期初步分析。请注意,本次威胁仍在调查中;攻击仍然活跃,并且有可能攻击者将试图应对我们的探测响应。
攻击途径
一般来说,勒索软件威胁不会迅速传播;像WannaCrypt(也被称之为WannaCry、WanaCrypt0r、WCrypt或WCRY)这样的威胁通常是利用社会工程学或电子邮件作为基本的攻击途径,这依赖于用户下载并执行恶意载荷。然而在本次特殊的案例中,勒索软件的作者使用了针对已打补丁的SMB协议“永恒之蓝(EternalBlue)”漏洞(CVE-2017-0145,该漏洞可以通过向使用SMBv1协议的目标服务器发送一个精心构造的数据报来触发)的公开可用攻击代码。该漏洞在2017年4月14日发布的安全公告MS17-010中被修复。
WannaCrypt的传播机制借鉴于有名的SMB协议公开漏洞利用,这使得这种常见的勒索软件具有了类似蠕虫的功能,能够在修复可用之后仍未打补丁的机器上开启一个入口。
WannaCrypt所用的攻击代码被设计为仅在未打补丁的Window 7系统和Windows Server 2008系统(或更早期的操作系统)上可用,因此安装Windows 10系统的个人计算机不受本次攻击影响。
我们还未找到证据可以证明本次威胁所使用的确切的原始入侵途径,不过我们相信有以下两种情景,很可能能够解释这款勒索软件的扩散传播:
·通过社会工程学邮件到达,该邮件被设计成能够欺骗用户运行恶意程序,并激活带有SMB协议漏洞利用的蠕虫传播功能模块;
·当一台未打补丁的计算机对于其他已感染的机器可达时,通过SMB协议漏洞感染。
释放器
该威胁以木马释放器的形式到达系统,并由以下两个组件组成:
1.其中一个组件试图利用SMB协议的CVE-2017-0145漏洞攻击另一台主机;
2.另一个组件就是名为“WannaCrypt”的勒索软件。
释放器使用API函数InternetOpenURLA()来尝试连接如下的域名:
·www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
·www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
该函数的具体反汇编代码如下图所示。
如果成功连接这些域名,释放器不再用勒索软件进一步感染系统,或者尝试利用其它系统的漏洞来进行传播;它仅仅停止执行。然而,如果连接失败,该威胁将转而释放勒索软件,并在系统中创建一个服务。
换言之,与被其它大多数恶意软件感染不同,IT管理员不应拦截这些域名。注意,恶意软件不是代理敏感的,所以需要一个本地的DNS记录;该记录不需要连接因特网,只需要解析到任何接受TCP的80端口连接的可达的服务器。
该威胁创建了一个名为“mssecsvc2.0”的服务,其功能是利用从被感染系统可达的其他计算机中的SMB协议漏洞。服务的具体描述如下:
Service Name: mssecsvc2.0
Service Description: (Microsoft Security Center (2.0) Service)
Service Parameters: “-m security”
创建服务的反汇编代码如下图所示。
WannaCrypt勒索软件
勒索组件是一个释放器,在其资源区块中包含一个口令保护的.zip压缩包。文件加密例程和.zip压缩包中的文件包括支持工具、解密工具和勒索信息。在我们所分析的例子中,zip压缩包的口令是“WNcry@2ol7”。
运行时,WannaCrypt创建以下的注册表键值:
·HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\<random string> = “<malware working directory>\tasksche.exe”
·HKLM\SOFTWARE\WanaCrypt0r\\wd = “<malware working directory>
它通过修改如下的注册表键值,将壁纸改变为勒索信息:
·HKCU\Control Panel\Desktop\Wallpaper: “<malware working directory>\@WanaDecryptor@.bmp”
在恶意程序的工作目录中,它创建如下的文件:
·00000000.eky
·00000000.pky
·00000000.res
·274901494632976.bat
·@Please_Read_Me@.txt
·@WanaDecryptor@.bmp
·@WanaDecryptor@.exe
·b.wnry
·c.wnry
·f.wnry
·m.vbs
·msg\m_bulgarian.wnry
·msg\m_chinese (simplified).wnry
·msg\m_chinese (traditional).wnry
·msg\m_croatian.wnry
·msg\m_czech.wnry
·msg\m_danish.wnry
·msg\m_dutch.wnry
·msg\m_english.wnry
·msg\m_filipino.wnry
·msg\m_finnish.wnry
·msg\m_french.wnry
·msg\m_german.wnry
·msg\m_greek.wnry
·msg\m_indonesian.wnry
·msg\m_italian.wnry
·msg\m_japanese.wnry
·msg\m_korean.wnry
·msg\m_latvian.wnry
·msg\m_norwegian.wnry
·msg\m_polish.wnry
·msg\m_portuguese.wnry
·msg\m_romanian.wnry
·msg\m_russian.wnry
·msg\m_slovak.wnry
·msg\m_spanish.wnry
·msg\m_swedish.wnry
·msg\m_turkish.wnry
·msg\m_vietnamese.wnry
·r.wnry
·s.wnry
·t.wnry
·TaskData\Tor\libeay32.dll
·TaskData\Tor\libevent-2-0-5.dll
·TaskData\Tor\libevent_core-2-0-5.dll
·TaskData\Tor\libevent_extra-2-0-5.dll
·TaskData\Tor\libgcc_s_sjlj-1.dll
·TaskData\Tor\libssp-0.dll
·TaskData\Tor\ssleay32.dll
·TaskData\Tor\taskhsvc.exe
·TaskData\Tor\tor.exe
·TaskData\Tor\zlib1.dll
·taskdl.exe
·taskse.exe
·u.wnry
WannaCrypt还可能创建如下文件:
·%SystemRoot%\tasksche.exe
·%SystemDrive%\intel\<random directory name>\tasksche.exe
·%ProgramData%\<random directory name>\tasksche.exe
它可能创建一个随机命名的服务,其关联的映像路径如下:“cmd.exe /c “<malware working directory>\tasksche.exe””。
然后,它在整个计算机范围内,搜索有如下文件名后缀的文件:.123/ .jpeg / .rb / .602 / .jpg / .rtf / .doc / .js / .sch / .3dm / .jsp / .sh / .3ds / .key / .sldm / .3g2 / .lay / .sldm / .3gp / .lay6 / .sldx / .7z / .ldf / .slk / .accdb / .m3u / .sln / .aes / .m4u / .snt / .ai / .max / .sql / .ARC / .mdb / .sqlite3 / .asc / .mdf / .sqlitedb / .asf / .mid / .stc / .asm / .mkv / .std / .asp / .mml / .sti / .avi / .mov / .stw / .backup / .mp3 / .suo / .bak / .mp4 / .svg / .bat / .mpeg / .swf / .bmp / .mpg / .sxc / .brd / .msg / .sxd / .bz2 / .myd / .sxi / .c / .myi / .sxm / .cgm / .nef / .sxw / .class / .odb / .tar / NaNd / .odg / .tbk / .cpp / .odp / .tgz / .crt / .ods / .tif / .cs / .odt / .tiff / .csr / .onetoc2 / .txt / .csv / .ost / .uop / .db / .otg / .uot / .dbf / .otp / .vb / .dch / .ots / .vbs / .der” / .ott / .vcd / .dif / .p12 / .vdi / .dip / .PAQ / .vmdk / .djvu / .pas / .vmx / .docb / .pdf / .vob / .docm / .pem / .vsd / .docx / .pfx / .vsdx / .dot / .php / .wav / .dotm / .pl / .wb2 / .dotx / .png / .wk1 / .dwg / .pot / .wks / .edb / .potm / .wma / .eml / .potx / .wmv / .fla / .ppam / .xlc / .flv / .pps / .xlm / .frm / .ppsm / .xls / .gif / .ppsx / .xlsb / .gpg / .ppt / .xlsm / .gz / .pptm / .xlsx / .h / .pptx / .xlt / .hwp / .ps1 / .xltm / .ibd / .psd / .xltx / .iso / .pst / .xlw / .jar / .rar / .zip / .java / .raw。
WannaCrypt加密所找到的所有文件,并向文件名后添加后缀.WNCRY来重命名。例如,如果一个文件名为“picture.jpg”,勒索软件将其加密并重命名为“picture.jpg.WNCRY”。
这款勒索软件还会在每个文件被加密的文件夹中创建一个“@Please_Read_Me@.txt”文件,其中包含和被替换的壁纸图像所显示的一样的勒索信息(如下方的屏幕截图所示)。
在完成加密流程之后,恶意程序通过运行如下命令来删除卷备份:
cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog –quiet
然后,它用如下消息替换桌面背景图片。
它还会运行一个可执行程序,在作为定时器的同时,显示一段勒索通知来索要价值300美元的比特币。如下图所示。
这段文字在不同地区分别使用如下语言:保加利亚语,汉语(简体),汉语(繁体),克罗地亚语,捷克语,丹麦语,荷兰语,英语,菲律宾语,芬兰语,法语,德语,希腊语,印尼语,意大利语,日语,韩语,拉脱维亚语,挪威语,波兰语,葡萄牙语,罗马尼亚语,俄语,斯洛伐克语,西班牙语,瑞典语,土耳其语,以及越南语。
勒索软件还会通过允许用户免费解密一些随机文件来演示解密能力。然后,它会很快提示用户支付赎金以解密剩余的所有文件。如下图所示。
传播能力
蠕虫功能模块试图感染本地网络中那些未打补丁的Windows主机;同时,它还会对因特网IP地址进行大范围的扫描,来发现和感染其他存在漏洞的计算机。这种活动将导致来自被感染主机的大量的SMB通信数据流,而这些通信数据可以通过SecOps卫士观察到,如下图所示。
因特网扫描例程随机生成字节来构造IPv4地址,然后恶意程序瞄准该IP,尝试利用CVE-2017-0145漏洞。为了跳过本地环回接口,该威胁会避免感染随机生成值的首字节为127,或者其值大于等于224的IPv4地址。一旦一台存在漏洞的机器被发现和感染,它将成为用于感染其他机器的下一个跳板。这个恶劣的感染循环过程将随着扫描进程不断发现未打补丁的计算机而不断继续。具体的反汇编代码如下图所示。
当成功感染了一台存在漏洞的计算机,恶意程序将运行一段内核态的Shellcode代码,这段代码貌似是从一个名为“DOUBLEPULSAR”的公开后门拷贝而来的,但进行了某些修改调整(针对x86和x64系统)来释放和执行勒索软件释放载荷。
针对WannaCrypt攻击的保护措施
要获取来自微软的最新保护措施,请更新为Windows 10系统。保持您的计算机更新,将带给您内建于Windows系统最新版本中的最新特性和积极应对等好处。
我们建议还未安装安全更新MS17-010的客户尽快安装。在安装了补丁之后,我们还建议以下两种工作环境设置,这可能减少遭受攻击的可能性:
·按照文件“微软知识库文章2696547”(网址:https://support.microsoft.com/kb/2696547)和之前所建议(网址:https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/)的步骤,禁用SMBv1协议;
·考虑在路由器或者防火墙添加规则,拦截445端口进入的SMB流量。
Windows反病毒防护软件(Windows Defender Antivirus)将该威胁检测识别为Ransom:Win32/WannaCrypt并更新到1.243.297.0版本,Windows反病毒防护软件(Windows Defender Antivirus)使用云防护来协助抵御最新的威胁。
对于企业来说,应该使用设备管家(Device Guard)锁定设备并提供内核级的虚拟化安全,仅允许信任的应用程序运行,从而有效阻止恶意程序执行。
使用具有机器学习能力的办公365高级威胁保护软件(Office 365 Advanced Thread Protection),将拦截恶意邮件威胁,比如携带勒索软件的邮件。
部署Windows高级威胁保护防御软件(Windows Defender Advanced Threat Protection)的监控网络,将向安全操作小组警告可疑活动。下载这本手册,学习如何利用Windows高级威胁保护防御软件(Windows Defender ATP)来检测、调查和缓解网络中的勒索软件:Windows高级威胁保护防御软件(Windows Defender Advanced Threat Protection)-勒索软件响应手册(网址:https://www.microsoft.com/en-us/download/details.aspx?id=55090)。
资源
下载英文版本安全更新:Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
下载对应区域语言版本安全更新:Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64
MS17-010安全更新:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
针对WannaCrypt攻击的用户指南:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
勒索软件的一般性介绍:https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx
破解标识
所分析样本的SHA1摘要值:
·51e4307093f8ca8854359c0ac882ddca427a813c
·e889544aff85ffaf8b0d0da705105dee7c97fe26
所创建的文件:
·%SystemRoot%\mssecsvc.exe
·%SystemRoot%\tasksche.exe
·%SystemRoot%\qeriuwjhrf
·b.wnry
·c.wnry
·f.wnry
·r.wnry
·s.wnry
·t.wnry
·u.wnry
·taskdl.exe
·taskse.exe
·00000000.eky
·00000000.res
·00000000.pky
·@WanaDecryptor@.exe
·@Please_Read_Me@.txt
·m.vbs
·@WanaDecryptor@.exe.lnk
·@WanaDecryptor@.bmp
·274901494632976.bat
·taskdl.exe
·Taskse.exe
·Files with “.wnry” extension
·Files with “.WNCRY” extension
所创建的注册表键值:
·HKLM\SOFTWARE\WanaCrypt0r\wd
原文链接:https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/?platform=hootsuite&from=groupmessage&isappinstalled=0
本文由 看雪翻译小组 木无聊偶 编译
转载请注明来源
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课