首页
社区
课程
招聘
[原创]简单分析病毒样本-永恒之蓝WannaCry
发表于: 2021-3-1 22:59 6951

[原创]简单分析病毒样本-永恒之蓝WannaCry

2021-3-1 22:59
6951

WannaCry.exe详细分析过程:
1>访问一个指定网站,触发病毒启动

图片描述
2>启动病毒文件,带参数-m security:
图片描述
3>病毒释放Taskscke.exe文件,并启动运行资源文件。
图片描述

4>带参数-m security,启动病毒文件后,Windows Sockets初始化,准备加密容器,两个PE文件存入内存。启动两个线程利用445端口,发起局域网攻击 和 广域网攻击

4.1>网络socket初始化
图片描述
4.2>申请加密容器CSP
图片描述
4.3>申请两块内存,存放PE文件,两个PE文件,文件大小分别为0x4060、0xc8a4
图片描述
4.3>病毒启动后,永恒之蓝会利用445端口,发起局域网攻击 和 广域网攻击
图片描述
获取本地PC网络信息,IP地址、网络掩码和网关
图片描述

通过wireshark抓包截图:
图片描述

5>tasksche.exe /i 运行:
5.1>创建目录,在c:\programdata\随机字符串
图片描述
5.2>copy病毒文件,到新的目录下

图片描述
5.3>抽取压缩文件,特征码:PK
图片描述

5.4>创建服务,以服务方式启动病毒程序。执行目录为c:\programdata\随机字符串\taskche.exe。
图片描述
并且创建Mutex互斥体,防止多开
图片描述
5.5>创建注册表条目\HKEY_LOCAL_MACHINE\SOFTWARE\WanaCrypt0r,键值对:wd:C:\ProgramData\znemvazsnwpqy217
图片描述

5.6>解压资源,解压密码为:Wncry@2ol7
图片描述
5.7>读写文件 c.wnry,存放钱包地址相关信息

图片描述

5.8>设置c:\programdata\随机字符串目录,隐藏属性
图片描述
5.9>添加权限,执行命令:icacls . /grant Everyone:F /T /C /Q。c:\programdata\随机字符串 目录下,所有文件
图片描述

5.10>读取t.wnry文件,检查t.wnry文件是否以WANNACRY!开始等特征信息。解密t.wnry文件

图片描述
5.11>返回一个结构体,第一个PE文件头地址,第二个位置加载dll文件,在0x1000 0000的位置,第三个导出表信息,第三个导出表函数个数。
图片描述
5.12>遍历dll文件的导出表,找到函数名TaskStart 调用执行。
图片描述

6> 详细分析TaskStart
6.1>创建互斥体,防止多开
图片描述
6.2>判断是否是系统权限S-1-5-18 or system
图片描述
6.3>写入c.wnry文件钱包地址信息
图片描述
6.4>有管理员权限执行@WanaDecryptor@.exe文件,没有管理员权限执行Taskse.exe提权,再执行@WanaDecryptor@.exe文件
图片描述

6.5>为tasksche.exe 创建开机启动项
图片描述

6.6>密钥交换,生成0000000.pky公钥文件和00000000.eky 私钥文件

图片描述
生成 00000000.res文件,执行多线程回调函数。
图片描述
7>文件加密操作,获取磁盘信息
图片描述
7.1>如果是硬盘,遍历硬盘中的文件。在遍历目录和文件中,会进行过滤操作,例如. ..目录,不符合目标的文件等。

图片描述
7.2> 永恒之蓝会将目标文件放入文件列表中,然后判断文件是否已经被加密,加密过的文件,退出加密操作。如果未被加密过,填充原始文件信息,读取加密原始文件的数据,加密后的数据写入到新文件中

图片描述

图片描述
7.3>判断wanddecryptor.exe是否存在,解密文件不存在,将 u.wnry变为wanddecryptor.exe。使用bat创建桌面快捷方式@WanaDecryptor@.exe.lnk
图片描述

7.4>永恒之蓝还会在不同分区,创建hibsys.WNCRY文档,不停的写入数据,直到磁盘空间耗尽为止。
图片描述


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2021-4-11 12:48 被wpcn_15pb编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//