騰訊安全團隊深入解析wannacry蠕蟲病毒

前言

原文作者：騰訊電腦管家
來源：http://www.freebuf.com/articles/system/134578.html
我只是知識的搬運工

背景

2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發，感染了大量的計算機，該蠕蟲感染計算機後會向計算機中植入敲詐者病毒，導致電腦大量檔案被加密，本文對其進行詳細分析

木馬概況

WannaCry木馬利用前陣子洩漏的方程式工具包中的“永恆之藍”漏洞工具，進行網路埠掃描攻擊，目標機器被成功攻陷後會從攻擊機下載WannaCry木馬進行感染，並作為攻擊機再次掃描網際網路和區域網其他機器，行成蠕蟲感染大範圍超快速擴散。

木馬母體為mssecsvc.exe，執行後會掃描隨機ip的網際網路機器，嘗試感染，也會掃描區域網相同網段的機器進行感染傳播，此外會釋放敲詐者程式tasksche.exe，對磁碟檔案進行加密勒索。

木馬加密使用AES加密檔案，並使用非對稱加密演算法RSA 2048加密隨機金鑰，每個檔案使用一個隨機金鑰，理論上不可破解。

詳細分析：

mssecsvc.exe行為：

1、開關：

木馬在網路上設定了一個開關，當本地計算機能夠成功訪問http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com時，退出程式，不再進行傳播感染。目前該域名已被安全公司接管。

2、蠕蟲行為：

通過建立服務啟動，每次開機都會自啟動。

從木馬自身讀取MS17_010漏洞利用程式碼，playload分為x86和x64兩個版本。

建立兩個執行緒，分別掃描內網和外網的IP，開始程式蠕蟲傳播感染。

對公網隨機ip地址445埠進行掃描感染。

對於區域網，則直接掃描當前計算機所在的網段進行感染。

感染過程，嘗試連線445埠。

如果連線成功，則對該地址嘗試進行漏洞攻擊感染

3、釋放敲詐者

tasksche.exe行為：（敲詐者）

解壓釋放大量敲詐者模組及配置檔案，解壓密碼為WNcry@2ol7

首先關閉指定程式，避免某些重要檔案因被佔用而無法感染。

遍歷磁碟檔案，避開含有以下字元的目錄。

ProgramData
Intel
WINDOWS
Program Files
Program Files (x86)
AppDataLocalTemp
Local SettingsTemp

This folder protects against ransomware. Modifying it will reduce protection

同時，也避免感染木馬釋放出來的說明文件。

木馬加密流程圖：

遍歷磁碟檔案，加密以下178種副檔名檔案。

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

程式中內建兩個RSA 2048公鑰，用於加密，其中一個含有配對的私鑰，用於演示能夠解密的檔案，另一個則是真正的加密用的金鑰，程式中沒有相配對的私鑰。

木馬隨機生成一個256位元組的金鑰，並拷貝一份用RSA2048加密，RSA公鑰內建於程式中

構造檔案頭，檔案頭中包含有標誌、金鑰大小、RSA加密過的金鑰、檔案大小等資訊。

使用CBC模式AES加密檔案內容，並將檔案內容寫入到構造好的檔案頭後，儲存成副檔名為.WNCRY的檔案，並用隨機數填充原始檔案後再刪除，防止資料恢復。

完成所有檔案加密後釋放說明文件，彈出勒索介面，需支付價值數百美元不等的位元比到指定的位元比錢包地址，三個比特幣錢包地址硬編碼於程式中。

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

解密程式：

木馬解密程式中內建了其中一個公鑰的配對私鑰，可以用於解密使用該公鑰加密的幾個檔案，用於向使用者“證明”程式能夠解密檔案，誘導使用者支付比特幣。

此後，程式判斷本地是否存在“00000000.dky”檔案，該檔案為真實解密所需私鑰檔案。若存在，則通過解密測試檔案來檢測金鑰檔案是否正確。

若正確，則解密，若錯誤或不存在，木馬將程判斷解壓後的Tor目錄下是否存在taskhsvc.exe，若不存在，則生成該檔案，並且呼叫CreateProcessA拉起該程式：

該程式主要為tor匿名代理工具，該工具啟動後會監聽本地9050埠，木馬通過本地代理通訊實現與伺服器連線。

在點選“Check Payment”按鈕後，由服務端判斷是否下發解密所需私鑰。若私鑰下發，則會在本地生成解密所需要的dky檔案

而後，程式便可利用該dky檔案進行解密。不過，到目前為止，未曾有解密成功的案例。

檔案列表及作用：

b.wnry: 中招敲詐者後桌面桌布
c.wnry: 配置檔案，包含洋蔥域名、比特幣地址、tor下載地址等
r.wnry: 提示檔案，包含中招提示資訊
s.wnry: zip檔案，包含Tor客戶端
t.wnry: 測試檔案
u.wnry: 解密程式
f.wnry: 可免支付解密的檔案列表

安全建議：

由於之前爆發過多起利用445埠共享漏洞攻擊案例，運營商對個人使用者關閉了445埠。因校園網是獨立的，故無此設定，加上不及時更新補丁，所以在本次事件中導致大量校園網使用者中招。管家提供以下安全建議：

1. 關閉445、139等埠，方法詳見：http://mp.weixin.qq.com/s/7kArJcKJGIZtBH1tKjQ-uA

2. 下載並更新補丁，及時修復漏洞（目前微軟已經緊急釋出XP、Win8、Windows server2003等系統補丁，已經支援所有主流系統，請立即更新）。XP、Windows Server 2003、win8等系統訪問：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
   Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系統訪問： https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3. 安裝騰訊電腦管家，電腦管家會自動開啟主動防禦進行攔截查殺；

4. 支付比特幣並不能解密檔案，不要支付比特幣，保留被加密的檔案，等待解密。