对WannaRen勒索病毒溯源新进展
登录
标签搜索
侧边栏壁纸
博主昵称
道锋潜鳞

  • 累计撰写 446 篇文章
  • 累计收到 65 条评论
记录

对WannaRen勒索病毒溯源新进展

道锋潜鳞
道锋潜鳞
2020-04-09 / 0 评论 / 65 阅读 / 正在检测是否收录...

恶意软件伪装为激活工具(kms)分发

万恶的下载站,,

勒索提示信息为“WannaRen”,排查发现主机不存在MS17-010漏洞。了解到之前下载过KMS类的系统激活工具。分析发现KMS工具存在访问URL加载其他恶意程序的行为。

点名某西下载站。

安全你XX呢?

鬼话连篇

发现在“kms激活工具 19.5.2.exe”程序中,捆绑了powershell恶意代码。如下

病毒信息

恶意代码执行时,首先延时2000秒(33分钟),一定程度上造成没有恶意行为的假象,影响安全研究人员分析;如果系统中安装了360、QQ防护则不执行后续代码。

然后呢。勒索病毒代码以“白加黑”的形式被调用,匿影病毒传播脚本会将“白加黑”恶意模块(wwlib.dll和WinWord.exe)下载到c:\ProgramData目录执行。病毒运行后,会将C:\ProgramData\WinWord.exe注册为系统服务,电脑重启后即会执行恶意代码,加密用户文件。主要通过“匿影”病毒传播脚本进行下发。

目标地址1:http://cs.sslsngyl90.com
目标地址2:http://cpu.sslsngyl90.com/vip.txt

病毒脚本执行后,会下载执行多个恶意模块,其中包括:勒索病毒、挖矿病毒、永恒之蓝漏洞攻击工具。其中,永恒之蓝漏洞攻击模块会在网络内通过漏洞攻击的方式传播恶意代码。在攻击成功后,会在被攻击终端中运行远程恶意脚本(my****.at.ua/vip.txt),此脚本于报告上述vip.txt恶意脚本模块逻辑基本相同,同为下载执行上述诸多恶意模块,也不排除该恶意脚本下载执行WannaRen勒索病毒的可能性。

截止昨晚获取到该脚本时候,内部恶意代码已被删除。

获取到的powershell脚本主要功能为:下载程序到本地执行。

其中的WINWORD.EXE带数字签名,可以绕过杀软检测,wwlib.dll使用vmp加壳,其编译信息和加壳信息与WannaRen勒索信息程序一致。

@WannaRen@.exe程序PE信息

wwlib.dll程序PE信息

在分析环境,wwlib.dll不能被运行,所以无法确认是否存在加密行为。截止目前8号下午5点,已发出的安全分析文章,认为该程序(wwlib.dll)即WannaRen的加密模块。

勒索病毒行为

该勒索病毒采用对称和非对称(RSA+RC4)加密,除非得到勒索病毒作者的私钥,否则无法进行解密。勒索病毒首先生成随机的RC4密钥,如“p2O6111983YU1L “,并使用这个单一密钥加密所有文件,被加密的文件会被添加.WannaRen后缀。生成密钥后,病毒会导入RSA公钥对随机生成的RC4密钥进行加密,并存储在每个加密文件的头部。具体代码,如下图所示:

生成随机的RC4密钥

导入公钥加密RC4密钥

病毒作者的公钥

使用RC4算法加密原始文件
为了使勒索后的电脑可以继续使用,勒索病毒在加密时会跳过特殊路径,跳过的路径关键字

勒索病毒会加密特定扩展名的文件

加密的文件扩展名
加密后的文件由两个部分组成, 前面为加密后的RC4密钥,后面为加密后的文件内容

被加密后的示例文件内容
勒索病毒在加密每个文件夹时会释放勒索说明文档,且完成后会在公用桌面上创建“想解密请看此文本.gif”、“想解密请看此文本.txt“以及一个解密程序” @WannaRen@.exe “

后门、勒索、挖矿一体的下载器

上述分析的其实只是恶意代码的“冰山一角”,hxxp://cs.sslsngyl90.com中后续的代码还会执行更多的行为,包括:

  1. 下载并执行挖矿程序(门罗币)
  2. 下载“永恒之蓝”工具包并集成批量扫描工具
  3. Everything工具外壳程序,实际为木马程序,开放并监听本地3611端口
  4. 甚至包含一些驱动程序,创建设备\\Device\\WinRing0_1_2_0等。

门罗币挖矿进程:

成功下载到本地的文件

同时,该病毒存在一些“缺陷”,即部分URL已经“失效”或者返回404,导致脚本异常退出中断执行。

各模块hash:

WINWORD.EXE       CEAA5817A65E914AA178B28F12359A46

wwlib.dll                  9854723BF668C0303A966F2C282F72EA

you                          2D84337218E87A7E99245BD8B53D6EAB

nb.exe                     CA8AB64CDA1205F0993A84BC76AD894A

officekms.exe          39E5B7E7A52C4F6F86F086298950C6B8

WinRing0x64.sys     0C0195C48B6B8582FA6F6373032118DA

防护建议

  1. 不要下载或打开来路不明的文件,并且及时备份重要数据,妥善保管。
  2. 安装并使用具备主动防御功能的终端防护软件,并及时更新病毒库版本。
  3. 下载软件请前往官网下载,尽量避免使用下载站下载。

章改编自:

绿盟公众号:https://mp.weixin.qq.com/s?__biz=MzU3NTcxNjkwMg==&mid=2247484397&idx=1&sn=576a65b3554fdabf37c904d92d921878&chksm=fd1fa8a4ca6821b21b09f7f48d9be0294d5243891f0cfa1af7328142e6d3309c67e0770b4c1a&mpshare=1&scene=23&srcid=&sharer_sharetime=1586358489740&sharer_shareid=4e6650b4a46c26f146a18e879fa887b8#rd

吾爱破解论坛(火绒安全):https://www.52pojie.cn/thread-1151815-1-1.html

实际测试如何,从群友那边获取来的中毒虚拟机压缩包已经在路上了

0
暂无标签
版权属于: 道锋潜鳞
本文链接: https://www.silverdragon.cn/archives/822/
作品采用: 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 》许可协议授权

评论 (0)

取消