信息安全

永恒之蓝的勒索病毒t.wnry样本分析

2019-08-08  本文已影响0人  Ginkgo_Alkaid

第二部分

接上面的分析,前面的wcry程序只是进行铺垫,主要为后面的加密做辅助,病毒进入TaskStart后,才真正开始它的恶意操作


图片.png

接下来就分析几个关键函数,创建的线程1,首先修改c.wncy文件


图片.png
之后启动@WanaDecryptor@.exe
图片.png

最后添加注册表项:


图片.png
执行了cmd.exe /c reg add %s /v "%s" /t REG_SZ /d ""%s"" /f的命令

线程2进行每隔25秒,循环写入数据到00000000.res的操作


图片.png

线程3应该是在检验公钥文件和密钥文件


图片.png

线程4 获取当前所有磁盘,遍历目录加密文件


图片.png

线程5 30秒运行一次taskdl.exe


图片.png

线程6 和线程1一样:


图片.png

最关键的加密函数在线程五中,首先将文件进行复制,之后对复制的文件进行加密,方式是使用RSA加密后的随机生成AES密钥进行加密,并在文件的起始位置写入WANACRY!的字符串,最后删除掉所有源文件。但是在我的虚拟机中,好多文件都没有加密成功,可能是用普通用户启动病毒的原因,如果正常情况下,一般是病毒通过445端口用永恒之蓝漏洞获得system权限再去执行加密操作,所以被攻击的电脑才会大部分文件加密


图片.png

病毒会绕过后缀名为.WNCRYT,.WNCRY,.WNCYR和名字为@Please_Read_Me@.txt,@WanaDecryptor@.exe.lnk,@WanaDecryptor@.exe,同时为了不干扰系统正常运行,病毒绕过了关键的系统目录


图片.png

Taskstart的最后一个函数,关掉各种系统进程,例如mysql和sqlserver等,其中有三个函数,功能是建立批处理文件,创建readme,加密其他用户文件


图片.png

创建bat批处理文件,作用是为了快速生成@WanaDecryptor@.exe的快捷方式


图片.png

把之前的r.wnry创建成readme.txt


图片.png

加密其他用户文件:


图片.png

到这里,t.wnry的导出函数TaskStart就结束了,中间对加密方式没调明白,后来网上搜了一波资料才搞懂,病毒的加密方式是


图片.png

加密流程:

加密文件的算法是AES, 而AES秘钥被RSA公钥_B加密, 私钥_B 被RSA公钥A 加密, 而私钥_A在攻击者手里


图片.png

加密文件格式:

对文件进行加密时,首先会生成新的AES秘钥,使用RSA公钥_B对生成的AES秘钥进行加密,保存到要加密文件的开头部分,(在WANACRY!)标识符之后,随后使用AES秘钥对文件进行加密

解密流程:

每个被加密的文件均使用不同的AES秘钥,若想对文件进行解密操作,需要先获取RSA私钥_B, 将文件头的AES秘钥进行解密,再使用AES秘钥对文件进行解密,而要获得RSA私钥_B则必须要获取私钥_A,私钥_A是在攻击者手里,理论上文件也就无法被解开

之后继续分析病毒程序释放的taskdl.exe和taskse.exe程序

上一篇下一篇

猜你喜欢

热点阅读