[系统安全] 三十.WannaCry勒索病毒分析 (4)全网“最”详细的蠕虫传播机制解读 |
您所在的位置:网站首页 › 病毒软件的原理及应用 › [系统安全] 三十.WannaCry勒索病毒分析 (4)全网“最”详细的蠕虫传播机制解读 |
[系统安全] 三十.WannaCry勒索病毒分析 (4)全网“最”详细的蠕虫传播机制解读
|
前文分享了深信服老师的《外部威胁防护和勒索病毒对抗》,带领大家看看知名安全厂商的威胁防护措施。这篇文章将详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。希望文章对您有所帮助~ 如果想面试病毒分析工程师或逆向分析工程师,WannaCry的传播机理是常考的一个知识点,也希望能帮助到那部分同学。而且其强大的功能作者尽最大努力去叙述,只希望能帮助更多该领域的读者,也希望Github关注点赞一波。感恩同行,不负遇见。 主程序文件利用漏洞传播蠕虫,运行WannaCry勒索程序WannaCry勒索程序释放tasksche.exe,对磁盘文件进行加密勒索@[email protected]显示勒索信息,运行TOR客户端 作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力 文章目录: 一.WannaCry背景二.WannaCry传播机制源码详解 1.WannaCry蠕虫传播流程 2.程序入口Start 3.域名开关WinMain 4.参数判断sub_408090 5.蠕虫安装流程sub_407F20 6.蠕虫服务传播流程sub_4080000 7.蠕虫初始化操作sub_407B90 8.局域网传播sub_407720 9.公网传播sub_407840 10.漏洞检测及创建通信连接sub_407540 11.发送SMB数据包sub_4072A0 12.获取Payload(dll+shellcode) 13.提取shellcode 14.shellcode分析之安装后门 15.shellcode分析之APC注入 16.dll导出及分析 17.释放资源tasksche.exe 18.勒索行为三.WannaCry实验复现 1.实验环境搭建 2.Kali利用MS17-010反弹Shell四.防御措施五.总结从2019年7月开始,我来到了一个陌生的专业——网络空间安全。初入安全领域,是非常痛苦和难受的,要学的东西太多、涉及面太广,但好在自己通过分享100篇“网络安全自学”系列文章,艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们,如果写得不好或不足之处,还请大家海涵! 接下来我将开启新的安全系列,叫“系统安全”,也是免费的100篇文章,作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等,也将通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步,加油~ 作者的github资源: 逆向分析: https://github.com/eastmountyxz/ SystemSecurity-ReverseAnalysis网络安全: https://github.com/eastmountyxz/ NetworkSecuritySelf-study声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。该样本不会分享给大家,分析工具会分享。(参考文献见后) 一.WannaCry背景2017年5月12日,WannaCry蠕虫通过永恒之蓝MS17-010漏洞在全球范围大爆发,感染大量的计算机。WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元。 WannaCry是一种“蠕虫式”勒索病毒软件,由不法分子利用NSA泄露方程式工具包的危险漏洞“EternalBlue”(永恒之蓝)进行传播。该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。  WannaCry利用Windows系统的SMB漏洞获取系统的最高权限,该工具通过恶意代码扫描开放445端口的Windows系统。WannaCry利用永恒之蓝漏洞进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry蠕虫进行感染,并作为攻击机再次扫描互联网和局域网的其他机器,形成蠕虫感染大范围超快速扩散。 其核心流程如下图所示: 木马母体为mssecsvc.exe,运行后会扫描随机IP的互联网机器,尝试感染,也会扫描局域网相同网段的机器进行感染传播,此外会释放敲诈者程序tasksche.exe,对磁盘文件进行加密勒索。木马加密使用AES加密文件,并使用非对称加密算法RSA 2048加密随机密钥,每个文件使用一个随机密钥,理论上不可攻破。同时@[email protected]显示勒索界面。 WannaCry勒索病毒主要行为是传播和勒索。 传播:利用基于445端口的SMB漏洞MS17-010(永恒之蓝)进行传播 勒索:释放文件,包括加密器、解密器、说明文件、语言文件等;加密文件;设置桌面背景、窗体信息及付款账号等。 二.WannaCry传播机制详解WannaCry蠕虫主要分为两个部分:蠕虫部分用于病毒传播,并释放出勒索程序;勒索部分用于加密用户文件索要赎金。 1.WannaCry蠕虫传播流程WannaCry运行的整体流程推荐安天公司的框架图,如下图所示:  其中,图中上半部分为WannaCry蠕虫的传播部分,该蠕虫通过网络进行传播,有自我复制和传播迅速等特点。传播步骤如下: (1) 连接远程域名开关 (2) 判断参数个数,选择蠕虫安装流程或服务传播流程  作者的分析工具主要是IDA Pro静态分析和OllyDbg动态调试,大家分析恶意样本一定在虚拟机中,并做好相关安全保护(如断网、物理隔离、共享协议端口关闭等)。  2.程序入口Start通过OD打开样本wcry.exe,发现程序入口地址为0x00409A16,对应start()函数。  通过一些初始化设置,紧接着会调用WinMain()函数进入主程序。  主程序调用关系如下图所示,调用地址为0x00409B45。  3.域名开关WinMain主程序运行后会先连接域名(KillSwitch): hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名连接成功,则直接退出且不触发任何恶意行为如果该域名无法访问,则触发传播勒索行为,执行sub_408090函数 该代码会调用InternetOpenUrl打开对应的网址,并根据其访问情况执行不同的操作。 如果网址无法访问,会调用sub_408090()函数创建蠕虫服务。这也意味着如果蠕虫作者注册并访问了该URL,WannaCry蠕虫也就停止了传播。目前该域名已被英国的安全公司接管,网上怀疑该操作能有效防止在线沙箱检测。 4.参数判断sub_408090接着进入sub_408090函数,通过判断参数个数来执行相应的流程。 sub_407F20函数 当参数windows防火墙—>高级选项–>入站规则新建规则–>选择端口–>指定端口号445选择阻止连接–>配置文件全选–>规则名称–>成功关闭实验在虚拟机中进行,也需要关闭共享文件夹功能,如下图所示。  五.总结写到这里,这篇文章就介绍完毕。主要讲解了WannaCry蠕虫的传播机制,也是作者一个月的研究成果,感觉是全网WannaCry蠕虫传播部分最详细的一篇文章了。最后,感觉自己真的好菜,但也需要加油,希望您喜欢这篇文章~ WannaCry蠕虫传播流程程序入口Start域名开关WinMain参数判断sub_408090蠕虫安装流程sub_407F20蠕虫服务传播流程sub_4080000蠕虫初始化操作sub_407B90局域网传播sub_407720公网传播sub_407840漏洞检测及创建通信连接sub_407540发送SMB数据包sub_4072A0获取Payload(dll+shellcode)提取shellcodeshellcode分析之安装后门shellcode分析之APC注入dll导出及分析释放资源tasksche.exe勒索行为原文地址: https://blog.csdn.net/Eastmount/article/details/114649732这篇文章中如果存在一些不足,还请海涵。作者作为网络安全初学者的慢慢成长路吧!希望未来能更透彻撰写相关文章。同时非常感谢参考文献中的安全大佬们的文章分享,深知自己很菜,得努力前行。 欢迎大家讨论,是否觉得这系列文章帮助到您!任何建议都可以评论告知读者,共勉。 前文回顾(下面的超链接可以点击喔): [系统安全] 一.什么是逆向分析、逆向分析应用及经典扫雷游戏逆向[系统安全] 二.如何学好逆向分析及吕布传游戏逆向案例[系统安全] 三.IDA Pro反汇编工具初识及逆向工程解密实战[系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向破解[系统安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏[系统安全] 六.逆向分析之条件语句和循环语句源码还原及流程控制[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向[系统安全] 八.Windows漏洞利用之CVE-2019-0708复现及蓝屏攻击[系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度提权[系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)复现[系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析[系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化[系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理[系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析(下)病毒感染配置[系统安全] 十五.Chrome密码保存功能渗透解析、Chrome蓝屏漏洞及音乐软件漏洞复现[系统安全] 十六.PE文件逆向基础知识(PE解析、PE编辑工具和PE修改)[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解[系统安全] 十八.病毒攻防机理及WinRAR恶意劫持漏洞(bat病毒、自启动、蓝屏攻击)[系统安全] 十九.宏病毒之入门基础、防御措施、自发邮件及APT28宏样本分析[系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解[系统安全] 二十一.PE数字签名之(中)Signcode、PEView、010Editor、Asn1View工具用法[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析[系统安全] 二十三.逆向分析之OllyDbg动态调试复习及TraceMe案例分析[系统安全] 二十四.逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点[系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密[系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及解析[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制分析及IDA和OD逆向[系统安全] 二十八.CS逆向分析 (1)你的游戏子弹用完了吗?Cheat Engine工具入门[系统安全] 二十九.外部威胁防护和勒索病毒对抗(深信服视频学习)[系统安全] 三十.WannaCry勒索病毒分析 (4)全网“最“详细的蠕虫传播机制解读2020年8月18新开的“娜璋AI安全之家”,主要围绕Python大数据分析、网络空间安全、人工智能、Web渗透及攻防技术进行讲解,同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统,并重构作者的所有文章,从零讲解Python和安全,写了近十年文章,真心想把自己所学所感所做分享出来,还请各位多多指教,谢谢。2021年继续加油! |
【本文地址】
今日新闻 |
推荐新闻 |