2017年5月12日，我们检测到一种新的勒索软件，它通过利用之前已被修复的漏洞，以蠕虫方式传播。虽然大部分计算机会自动应用安全更新，但某些用户和企业可能会选择推迟安装补丁；不幸的是，这种名为“WannaCrypt”的勒索软件貌似已经影响到了未安装相应漏洞补丁的计算机。目前攻击范围正在不断扩大，因此我们强烈建议未采取保护措施的用户安装MS17-010漏洞补丁。

微软的反恶意程序遥测机构立即获取了本次事件的信号：当其发生时，我们的专家系统关注并分析了这种新攻击的环境需求，这使得Windows反病毒防护程序（Windows Defender Antivirus）能够进行实时防护；通过自动分析、机器学习以及预测建模，我们能够迅速地对抗这种恶意程序。

    在本文中，我们提供了对端到端勒索软件攻击的早期初步分析。请注意，本次威胁仍在调查中；攻击仍然活跃，并且有可能攻击者将试图应对我们的探测响应。

攻击途径

一般来说，勒索软件威胁不会迅速传播；像WannaCrypt（也被称之为WannaCry、WanaCrypt0r、WCrypt或WCRY）这样的威胁通常是利用社会工程学或电子邮件作为基本的攻击途径，这依赖于用户下载并执行恶意载荷。然而在本次特殊的案例中，勒索软件的作者使用了针对已打补丁的SMB协议“永恒之蓝（EternalBlue）”漏洞（CVE-2017-0145，该漏洞可以通过向使用SMBv1协议的目标服务器发送一个精心构造的数据报来触发）的公开可用攻击代码。该漏洞在2017年4月14日发布的安全公告MS17-010中被修复。

WannaCrypt的传播机制借鉴于有名的SMB协议公开漏洞利用，这使得这种常见的勒索软件具有了类似蠕虫的功能，能够在修复可用之后仍未打补丁的机器上开启一个入口。

WannaCrypt所用的攻击代码被设计为仅在未打补丁的Window 7系统和Windows Server 2008系统（或更早期的操作系统）上可用，因此安装Windows 10系统的个人计算机不受本次攻击影响。

我们还未找到证据可以证明本次威胁所使用的确切的原始入侵途径，不过我们相信有以下两种情景，很可能能够解释这款勒索软件的扩散传播：

·通过社会工程学邮件到达，该邮件被设计成能够欺骗用户运行恶意程序，并激活带有SMB协议漏洞利用的蠕虫传播功能模块；

·当一台未打补丁的计算机对于其他已感染的机器可达时，通过SMB协议漏洞感染。

释放器

该威胁以木马释放器的形式到达系统，并由以下两个组件组成：

1.其中一个组件试图利用SMB协议的CVE-2017-0145漏洞攻击另一台主机；

2.另一个组件就是名为“WannaCrypt”的勒索软件。

释放器使用API函数InternetOpenURLA()来尝试连接如下的域名：

·www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

·www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

    该函数的具体反汇编代码如下图所示。

如果成功连接这些域名，释放器不再用勒索软件进一步感染系统，或者尝试利用其它系统的漏洞来进行传播；它仅仅停止执行。然而，如果连接失败，该威胁将转而释放勒索软件，并在系统中创建一个服务。

换言之，与被其它大多数恶意软件感染不同，IT管理员不应拦截这些域名。注意，恶意软件不是代理敏感的，所以需要一个本地的DNS记录；该记录不需要连接因特网，只需要解析到任何接受TCP的80端口连接的可达的服务器。

该威胁创建了一个名为“mssecsvc2.0”的服务，其功能是利用从被感染系统可达的其他计算机中的SMB协议漏洞。服务的具体描述如下：

    创建服务的反汇编代码如下图所示。

WannaCrypt勒索软件

勒索组件是一个释放器，在其资源区块中包含一个口令保护的.zip压缩包。文件加密例程和.zip压缩包中的文件包括支持工具、解密工具和勒索信息。在我们所分析的例子中，zip压缩包的口令是“WNcry@2ol7”。

运行时，WannaCrypt创建以下的注册表键值：

·HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\<random string> = “<malware working directory>\tasksche.exe”

·HKLM\SOFTWARE\WanaCrypt0r\\wd = “<malware working directory>

它通过修改如下的注册表键值，将壁纸改变为勒索信息：

·HKCU\Control Panel\Desktop\Wallpaper: “<malware working directory>\@WanaDecryptor@.bmp”

在恶意程序的工作目录中，它创建如下的文件：

·00000000.eky

·00000000.pky

·00000000.res

·274901494632976.bat

·@Please_Read_Me@.txt

·@WanaDecryptor@.bmp

·@WanaDecryptor@.exe

·b.wnry

·c.wnry

·f.wnry

·m.vbs

·msg\m_bulgarian.wnry

·msg\m_chinese (simplified).wnry

·msg\m_chinese (traditional).wnry

·msg\m_croatian.wnry

·msg\m_czech.wnry

·msg\m_danish.wnry

·msg\m_dutch.wnry

·msg\m_english.wnry

·msg\m_filipino.wnry

·msg\m_finnish.wnry

·msg\m_french.wnry

·msg\m_german.wnry

·msg\m_greek.wnry

·msg\m_indonesian.wnry

·msg\m_italian.wnry

·msg\m_japanese.wnry

·msg\m_korean.wnry

·msg\m_latvian.wnry

·msg\m_norwegian.wnry

·msg\m_polish.wnry

·msg\m_portuguese.wnry

·msg\m_romanian.wnry

·msg\m_russian.wnry

·msg\m_slovak.wnry

·msg\m_spanish.wnry

·msg\m_swedish.wnry

·msg\m_turkish.wnry

·msg\m_vietnamese.wnry

·r.wnry

·s.wnry

·t.wnry

·TaskData\Tor\libeay32.dll

·TaskData\Tor\libevent-2-0-5.dll

·TaskData\Tor\libevent_core-2-0-5.dll

·TaskData\Tor\libevent_extra-2-0-5.dll

·TaskData\Tor\libgcc_s_sjlj-1.dll

·TaskData\Tor\libssp-0.dll

·TaskData\Tor\ssleay32.dll

·TaskData\Tor\taskhsvc.exe

·TaskData\Tor\tor.exe

·TaskData\Tor\zlib1.dll

·taskdl.exe

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！