e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

WannaCry勒索病毒分析报告

2017/5/17    来源:FreeBuf    作者:佚名      
关键字:WannaCry病毒  
2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,仅仅几个小时内,该勒索软件已经攻击了99个国家近万台电脑。
    2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,仅仅几个小时内,该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招,且攻击仍在蔓延。
 
    据报道,勒索攻击导致16家英国医院业务瘫痪,西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织,11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。国内也有大量教学系统瘫痪,包括校园一卡通系统。
 
    瑞星的研究人员对勒索软件进行详细的分析,并且给出多种解决方案,包括“永恒之蓝”病毒免疫工具。
 
    一、背景介绍
 
    WannaCry勒索病毒 通过windows操作系统漏洞EternalBlue永恒之蓝 发起攻击。3月14 微软已经发布补丁,由于很多受害者没有及时安装补丁,导致被病毒攻击,计算机中的文件被加密。
 
    二、详细分析
 
    病毒分为漏洞利用模块,加密器,解密器 
 
    攻击逻辑如下:
 
    攻击者发起攻击,被攻击机器由于存在漏洞,导致自身中毒。中毒之后漏洞利用模块启动,
 
    漏洞利用模块运行之后,释放加密器和解密器,启动攻击线程,随机生成ip地址,攻击全球。
 
    加密器启动之后,加密指定类型的文件。文件全部加密之后,启动解密器
 
    解密器启动之后,设置桌面背景显示勒索信息,弹出窗口 显示付款账号和勒索信。威胁用户指定时间内不付款文件无法恢复。
 
    漏洞利用模块分析
 
    1、启动之后判断命令行参数,是否已经释放文件。如果没有释放文件则释放文件,启动释放的加密器,把自身设置为服务。
 
创建服务
 
    图-创建服务
 
    病毒主程序 伪装为微软安全中心
 
病毒主程序 伪装为微软安全中心
 
    图-伪装为服务
 
    从资源中解密文件
 
从资源中释放出加密器
 
    图-从资源中释放出加密器
 
    拼凑路径
 
拼凑加密器释放的路径
 
    图-拼凑加密器释放的路径
 
    释放加密器
 
释放加密器
 
    图-释放加密器
 
    启动加密器
 
启动加密器程序
 
    图-启动加密器程序
 
    2、如果服务创建成功,则启动服务进入服务函数,创建线程 执行相应功能
 
随机生成攻击IP
 
    图-随机生成攻击IP
 
利用漏洞攻击生成的ip
 
    图-利用漏洞攻击生成的ip
 
    攻击线程中构造exploit 发送漏洞利用程序数据包
 
    复制shellcode
 
构造漏洞利用数据包
 
    图-构造漏洞利用数据包
 
    发送数据包 利用漏洞攻击攻击生成的ip
 
收发数据包
 
    图-收发数据包
 
发送漏洞利用数据包
 
    图-发送漏洞利用数据包
 

责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐