1.前言
在剛剛過去的這個周末���,注定是個不平凡的周末��,不僅是汶川大地震8周年祭也是偉大的母親們的節(jié)日��,還發(fā)生了一件全球性的黑天鵝事件�����。
2017年5月13日神琥取證研究院�、開發(fā)團(tuán)隊(duì)、取證技術(shù)服務(wù)團(tuán)隊(duì)一起對攻擊全球99個國家的勒索病毒“wanacry”進(jìn)行了全面的取證分析和調(diào)研��。目前對勒索病毒的分析工作告一段落:已經(jīng)掌握勒索病毒的完整攻擊架構(gòu)����;圍繞本次事件的調(diào)研溯源也緊鑼密鼓地完成,制作了多份內(nèi)部報告提交給相關(guān)單位和用戶�����。
下面我們將從技術(shù)的角度�����,深入淺出����,對本次勒索軟件病毒進(jìn)行取證分析,提煉了部分可公開的調(diào)研情況����,并給出防范措施和拯救數(shù)據(jù)的解決方案。謹(jǐn)供參考����。
2.木馬概況
WannaCry木馬利用shadowbroker泄漏的方程式工具包中的“永恒之藍(lán)”漏洞工具�����,進(jìn)行網(wǎng)絡(luò)端口掃描攻擊����,目標(biāo)機(jī)器被成功攻陷后會從攻擊機(jī)下載WannaCry木馬進(jìn)行感染�,并作為攻擊機(jī)再次掃描互聯(lián)網(wǎng)和局域網(wǎng)其他機(jī)器,行成蠕蟲感染大范圍超快速擴(kuò)散�����。
對感染的計算機(jī)����,采用“神琥-召雨DS
For PC”產(chǎn)品�����,通過時間軸排序��,我們可以從文件系統(tǒng)痕跡清晰看到勒索軟件執(zhí)行和安裝釋放文件情況:
3.詳細(xì)分析
木馬邏輯架構(gòu)圖:
3.1. 準(zhǔn)備階段
mssecsvc為WannaCry主體���,通過神琥科技自主研發(fā)的“未知新型木馬定位追蹤”產(chǎn)品進(jìn)行木馬分析��,我們發(fā)現(xiàn)在C盤Temp目錄下的mssecsvc.exe木馬樣本文件運(yùn)行時會檢測主機(jī)是否能夠訪問地址:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
該域名與網(wǎng)絡(luò)目前分析文章顯示被英國研究員搶注的域名一致���。
如果能夠正常訪問����,程序會退出��。目前該域名已被sink
hole接管�����。
如果檢測上述域名失敗��,mssecsvc.exe進(jìn)一步會檢測啟動參數(shù)�。如果參數(shù)大于1,則執(zhí)行傳播流程���。否則�,執(zhí)行加密勒索流程��。
3.2. 傳播階段
當(dāng)mssecsvc.exe檢測啟動參數(shù)大于1時執(zhí)行本階段����。在本階段�����,mssecsvc.exe會對內(nèi)網(wǎng)網(wǎng)段和外網(wǎng)網(wǎng)段進(jìn)行掃描傳播���,針對漏洞編號MS17-010。通過抓包對比���,該利用特征與方程式Eternalblue工具中的利用工具特征一致���。
由此可以確認(rèn)該樣本漏洞利用部分來自于Eternalblue。
3.3. 加密階段
當(dāng)mssecsvc.exe檢測啟動參數(shù)大于1時執(zhí)行本階段����。mssecsvc.exe會釋放如下圖所示文件:
隨后,勒索軟件會對系統(tǒng)中多達(dá)178種類型文件進(jìn)行加密����。加密流程如下:
由于樣本沒有在原始文件上做加密��,而是在生成了新的加密文件(擴(kuò)展名為wncry)后刪除了原始文件���,因此有概率通過數(shù)據(jù)恢復(fù)的方式對目標(biāo)機(jī)器被加密的文件進(jìn)行恢復(fù)還原��。
3.4. 勒索階段
在完成所有文件加密后將釋放說明文檔�����,并彈出勒索界面����。勒索界面中支持28種不同語言選擇,包括簡體中文和繁體中文��。
其主要功能包括:修改桌面背景����、顯示勒索聲明窗口界面、指導(dǎo)如何以比特幣方式支付贖金�。點(diǎn)擊支付按鈕后@wanadecryptor@.exe 會執(zhí)行 tor.exe 文件,啟動到 Tor 節(jié)點(diǎn)的網(wǎng)絡(luò)聯(lián)接��,從而通過 Tor 網(wǎng)絡(luò)代理發(fā)送流量����。
4.調(diào)研情況
此次傳播的病毒以代號ONION和WINCRY的兩個家族為主,監(jiān)測顯示國內(nèi)首先出現(xiàn)前者�,后者在12日下午出現(xiàn)并在校園網(wǎng)中迅速擴(kuò)散。根據(jù)某友商威脅情報中心的統(tǒng)計����,在短短一天多的時間���,WannaCrypt(永恒之藍(lán))勒索蠕蟲已經(jīng)攻擊了近百個國家的超過10萬家企業(yè)和公共組織,其中包括1600家美國組織����,11200家俄羅斯組織。網(wǎng)絡(luò)軟件安全公司Avast表示����,它已經(jīng)在99個國家和地區(qū)發(fā)現(xiàn)了126534起勒索軟件感染事件,其中俄羅斯����、烏克蘭、臺灣最嚴(yán)重�����。
5月12日��,黑客組織SpamTech在其Twitter上表示:“‘wannaCry/WCRY’病毒是其一個成員制造的�?��!苯?jīng)過我們深入工作����,發(fā)現(xiàn)該成員還有更特殊的身份,此處不展開贅述����。
4.1. 國外情況
WannaCrypt(永恒之藍(lán))勒索蠕蟲是從5月12日開始突然在全球爆發(fā)的勒索蠕蟲攻擊,包括英國醫(yī)療系統(tǒng)�����、快遞公司FedEx�����、俄羅斯內(nèi)政部����、俄羅斯電信公司Megafon、西班牙電信都被攻陷��、雷諾停產(chǎn)�����。其中英國公立醫(yī)療系統(tǒng)“國民保健服務(wù)”(NHS)首先被攻陷,接著英國39家醫(yī)療機(jī)構(gòu)被癱瘓�����。
4.2. 國內(nèi)情況
國內(nèi)被感染的組織和機(jī)構(gòu)已經(jīng)覆蓋了幾乎所有地區(qū)����,高校和教育網(wǎng)首當(dāng)其沖,影響范圍遍布高校���、火車站�、自助終端��、郵政�����、加油站�����、醫(yī)院�����、政府辦事終端等多個領(lǐng)域,被感染的電腦數(shù)字還在不斷增長中�。
在受影響的地區(qū)中��,江蘇���、浙江���、廣東、江西�、上海、山東���、北京和廣西排名前八位�。
5月12日晚上20點(diǎn)左右�,全國各地的高校學(xué)生紛紛反映,自己的電腦遭到病毒的攻擊�����,文檔被加密�,壁紙?jiān)獾酱鄹模⑶以谧烂嫔铣霈F(xiàn)窗口,強(qiáng)制學(xué)生支付等價300美元的比特幣到攻擊者賬戶上����。
5月12日23時,山東大學(xué)對校園網(wǎng)用戶發(fā)布通知“我校部分單位出現(xiàn)ONION勒索軟件感染情況”�,這也是目前調(diào)研發(fā)現(xiàn)國內(nèi)最早發(fā)布通知的單位。
截至到5月13日20點(diǎn)�,國內(nèi)有29372家機(jī)構(gòu)組織的數(shù)十萬臺機(jī)器感染,其中有教育科研機(jī)構(gòu)4341家中招��,是此次事件的重災(zāi)區(qū)��。
5月13日0點(diǎn)左右����,中石油北京、上海�、成都、重慶等地加油站開始斷網(wǎng)�。
5.防范措施
由于之前爆發(fā)過多起利用445端口共享漏洞攻擊案例,運(yùn)營商對個人用戶關(guān)閉了445端口����。但因校園網(wǎng)是獨(dú)立的,故無此設(shè)置�,加上不及時更新補(bǔ)丁�,所以在本次事件中導(dǎo)致大量校園網(wǎng)用戶中招���。神琥科技提供以下安全建議:
winXP���、win 2003補(bǔ)?�。?/span>
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7���、win8、Win
Server2008�、Win10, Win Server
2016補(bǔ)丁:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
6.終極篇:拯救數(shù)據(jù)
對于已經(jīng)購買我們“神琥-召雨DS
For PC”的用戶,可以使用該產(chǎn)品輕松對已經(jīng)加密的數(shù)據(jù)進(jìn)行恢復(fù)�,具體步驟如下:
1、一個正常的計算機(jī)����,E盤為數(shù)據(jù)盤,有如下目錄和正常文件:
­2���、執(zhí)行勒索軟件后���,圖片等各類文件被加密,出現(xiàn)勒索界面:
至此�,感染完成。
­3�����、對感染的計算機(jī)數(shù)據(jù)盤進(jìn)行鏡像�,在“神琥-召雨DS
For PC”產(chǎn)品中�����,打開鏡像文件:
圖-選擇鏡像文件
4��、解析完鏡像文件���,出現(xiàn)邏輯驅(qū)動器盤符:
選擇鏡像的數(shù)據(jù)盤,進(jìn)入分區(qū)2�����。
6�、點(diǎn)擊打開數(shù)據(jù)盤瀏覽根目錄��,可以看到被加密的文件����,以及加密后被刪除的文件:
7、進(jìn)入剛才被加密的圖片目錄:\Documents\picture����,在程序的下方,選擇“圖集”方式瀏覽����,被刪除消失的圖片重新出現(xiàn)了:
8�、選擇圖片前面的復(fù)選框����,然后提取,即可完成數(shù)據(jù)恢復(fù)�。其余被加密刪除的文檔也如法操作。
