WannaCry变种导致系统蓝屏分析及防护措施

5月中旬,WannaCry勒索病毒席卷全球,我国多数企事业单位、学校感染,损失惨重。此次事件让我们记住了“永恒之蓝” ,让我们了解了黑客组织影子经纪人(Shadow Brokers)、方程式组织(Equation Group)。WannaCry爆发后,很多黑客不断的修改该病毒,衍生出很多变种,此次亚信安全截获的变种依然是通过微软MS17-010漏洞传播,但是其不会加密系统中的文件,却可以导致系统蓝屏。

0×001 前言

WannaCry病毒分蠕虫部分和勒索病毒部分,前者用于传播和释放病毒,后者攻击用户加密文件。目前获取的样本中执行加密模块的进程已无法正常启动运行,即使系统感染了该病毒,系统中的文件也不会被加密。

0×002 蠕虫部分分析

Ø 域名开关

该蠕虫代码执行后,首先会连接http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,与之前样本不同的是,无论该域名访问成功与否,都会继续往下执行主函数。也就是说,该变种的域名开关是失效的。如下图所示:

Ø 建立并启动服务

该病毒会安装服务,服务的二进制文件路径为当前进程文件路径,参数为:-m security,并启动服务。

Ø 释放文件

该病毒会释放其资源文件,创建新进程(勒索模块)。

其从资源中释放出taskche.exe文件,该文件本身是可执行文件,直接创建进程执行。该进程主要的功能是进行加密文件等一系列操作。

Ø 漏洞传播

该病毒启动后会执行一次本地网络地址攻击。

攻击时,首先会尝试连接对方的445端口,连接成功后,开始发送攻击包。

本地网络攻击的逻辑为遍历机器上的所有网卡,获得所有的本地ip、网关的ip、用这些ip生成覆盖整个局域网网段的攻击列表(1-255),对本地的网络地址进行攻击。

本地网络地址攻击后,持续性的开始对外网进行攻击,外网的攻击范围为随机(1-255).( 1-255).(1-255). (1-255)。

0×003 勒索部分

经过我们对蠕虫文件释放的勒索模块的分析,与之前的Wannacry样本对比,在此样本中该模块已经是被修改过的并且是无法运行的,我们通过样本的比较,静态逆向以及动态调试确认,该taskche.exe进程是无法运行的,所以被感染机器中的文件并没有被加密。

文件内容变化

与之前样本对比,此次变种释放的勒索模块大小并没有改变,而在文件的内容上发生了变化,如下图所示:

文件执行

与之前的样本对比,该样本释放的勒索文件因程序损坏而无法直接运行,运行会产生如下异常,如下图所示:

动态调试

通过对母体文件的动态调试,蠕虫代码在执行释放资源后启动进程时,该进程(taskche.exe)并没有执行成功,而是返回的失败。但并不会影响该蠕虫代码的执行流程,如下图所示:

0x 004总结

该病毒样本是WannaCry的变种,是修改了勒索模块并且导致该模块直接无法运行,目前亚信安全可以检测该样本,蠕虫样本检测名为:WORM_WCRY.C 勒索模块检测名为:RANSOM_WCRY.DAM。

防护措施:

利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445 端口的服务)。

打开系统自动更新,并检测更新进行安装。

请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389) 补丁程序。

详细信息请参考链接:(https://technet.microsoft.com/library/security/MS17-010)

XP和部分服务器版WindowsServer2003特别安全补丁。详细信息请参考链接:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/