WannaCry「想哭」要變為WannaSister「想妹妹」?比特幣敲詐原來一直在演化
席捲全球的WannaCry勒索病毒已經擴散至100多個國家和地區,包括醫院,教育機構,政府部門都無一例外的遭受到了攻擊。勒索病毒結合蠕蟲的方式進行傳播,是此次攻擊事件大規模爆發的重要原因。截止到15號,已經有近4萬美元的贖金被支付,與全球中毒用戶規模來看,這僅僅是非常小的一個支付比例。騰訊反病毒實驗室及時響應此次攻擊事件,搜集相關信息,初步判斷WannaCry病毒在爆發之前已經存在於互聯網中,並且病毒目前仍然在進行變種。在監控到的樣本中,發現疑似黑客的開發路徑,有的樣本名稱已經變為「WannaSister.exe」,從「想哭(WannaCry)」變成「想妹妹(WannaSister)」。
(騰訊安全反病毒實驗室96小時勒索病毒監控圖)
特別說明:
不得不承認此次WannaCry勒索病毒影響席捲全球,短期內被瞬間引爆,但實際破壞性還不算大,我們的研究和輸出希望幫助大家理性了解並面對,並不希望被放大和恐慌。此次我們認為這次勒索病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結合。針對勒索病毒已經找到了有效的防禦方法,而且周一開始病毒傳播已在減弱,用戶只要掌握正確的方法就可以避免,廣大網友不必太驚慌,關注騰訊安全聯合實驗室和騰訊電腦管家的研究和防禦方案,也呼籲行業理性應對。我們也會繼續追蹤病毒演變。
WannaCry勒索病毒時間軸
傳播方式
根據目前我們掌握的信息,病毒在12日大規模爆發之前,很有可能就已經通過掛馬的方式在網路中進行傳播。在一個來自巴西被掛馬的網站上可以下載到一個混淆的html文件,html會去下載一個前綴為task的exe文件,而諸多信息表明,此文件很有可能與12號爆發的WannaCry勒索病毒有著緊密關係。
根據騰訊反病毒實驗室威脅情報資料庫中查詢得知,此文件第一次出現的時間是2017年5月9號。WannaCry的傳播方式,最早很可能是通過掛馬的方式進行傳播。12號爆發的原因,正是因為黑客更換了傳播的武器庫,挑選了泄露的MS17-010漏洞,才造成這次大規模的爆發。當有其他更具殺傷力的武器時,黑客也一定會第一時間利用。
對抗手段
當傳播方式鳥槍換大炮後,黑客也在炮彈上開始下功夫。在騰訊反病毒實驗室已獲取的樣本中找到一個名為WannaSister的樣本,而這個樣本應該是病毒作者持續更新,用來逃避殺毒軟體查殺的對抗手段。
此樣本首次出現在13號,這說明自從病毒爆發後,作者也在持續更新,正在想辦法讓大家從「WannaCry想哭」更新到「WannaSister想妹妹」。就目前掌握的信息,自12號病毒爆發以後,病毒樣本出現了至少4種方式來對抗安全軟體的查殺,這也再次印證了WannaCry還在一直演化。
加殼
在分析的過程中,我們發現已經有樣本在原有病毒的基礎上進行了加殼的處理,以此來對抗靜態引擎的查殺,而這個樣本最早出現在12號的半夜11點左右,可見病毒作者在12號病毒爆發後的當天,就已經開始著手進行免殺對抗。下圖為殼的信息。
通過加殼後,分析人員無法直接看到有效的字元串信息,這種方式可以對抗殺毒軟體靜態字元串查殺。
通過使用分析軟體OD脫殼後,就可以看到WannaCry的關鍵字元串。包括c.wnry加密後的文件,wncry@2ol7解密壓縮包的密碼,及作者的3個比特幣地址等。
病毒作者並非只使用了一款加殼工具對病毒進行加密,在其他樣本中,也發現作者使用了安全行業公認的強殼VMP進行加密,而這種加密方式,使被加密過的樣本更加難以分析。
我們通過驗證使用VMP加密過的樣本,發現非常多的殺毒廠商已無法識別。
偽裝
在收集到的樣本中,有一類樣本在代碼中加入了許多正常字元串信息,在字元串信息中添加了許多圖片鏈接,並且把WannaCry病毒加密後,放在了自己的資源文件下。這樣即可以混淆病毒分析人員造成誤導,同時也可以躲避殺軟的查殺。下圖展示了文件中的正常圖片鏈接
當我們打開圖片鏈接時,可以看到一副正常的圖片。誤導用戶,讓用戶覺得沒有什麼惡意事情發生。
但實際上病毒已經開始運行,會通過啟動傀儡進程notepad,進一步掩飾自己的惡意行為。
隨後解密資源文件,並將資源文件寫入到notepad進程中,這樣就藉助傀儡進程啟動了惡意代碼。
偽造簽名
在分析14號的樣本中,我們發現病毒作者開始對病毒文件加數字簽名證書,用簽名證書的的方式來逃避殺毒軟體的查殺。但是簽名證書並不是有效的,這也能夠看出作者添加證書也許是臨時起意,並沒有事先準備好。
我們發現病毒作者對同一病毒文件進行了多次簽名,嘗試繞過殺軟的方法。在騰訊反病毒實驗室獲取的情報當中,我們可以發現兩次簽名時間僅間隔9秒鐘,並且樣本的名字也只差1個字元。
反調試
病毒作者在更新的樣本中,也增加了反調試手法:
1 通過人為製造SEH異常,改變程序的執行流程
2 註冊窗口Class結構體,將函數執行流程隱藏在函數回調中。
總結
這次勒索病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結合。針對勒索病毒已經找到了有效的防禦方法,而且周一開始病毒傳播已在減弱,用戶只要掌握正確的方法就可以避免,廣大網友不必太驚慌,關注騰訊反病毒實驗室和騰訊電腦管家的研究和防禦方案,也呼籲行業理性應對。我們也會繼續追蹤病毒演變。騰訊反病毒實驗室會密切關注事態的進展,嚴陣以待,做好打持久戰的準備,堅決遏制勒索病毒蔓延趨勢。
※華為nova 2月底亮相 海報出爐主打年輕
※上達電子年產能增至390萬片 今年銷售目標要上10個億
※大師對話·中國聲:四單元旗艦首發 1MORE開啟「芯」時代
※民用無人機6月1日起將實行實名登記註冊
TAG:TechWeb |
※TensorFlow 2.0將把Eager Execution變為默認執行模式
※獨家 | TensorFlow 2.0將把Eager Execution變為默認執行模式,你該轉向動態計算圖了
※將夢境變為現實!紐約「Dream Machine」造夢機器展!
※iPhone X可能要變為絕版?
※《FIFA 20》你將無法使用尤文圖斯 隊名變為「Piemonte Calcio」
※視覺中國官網vcg.com域名狀態變為clientHold(暫停解析)
※非洲當代藝術博物館:將42根混凝土管變為文化中心/Heatherwick Studio
※蘑菇街將域名mogujie.com變為mogu.com
※YunOS徹夜難眠,魅族手機更新後,將系統底層的雲OS變為Android
※Windows 10 S被砍!微軟將其演變為Win10的「S模式」
※iOS 12增添新功能:AirPods搖身一變為助聽器
※angelababy自爆新髮型,從甜美風轉變為嘻哈風,這難道是因為「他」?
※將樹莓派 3B+ 變為 PriTunl VPN
※文青感注入,Samsonite RED 從商務蛻變為生活清新的日常包款
※Windows 10 S發布不到一年被砍!微軟將其演變為Win10的「S模式」
※加入手勢操作!Android P導航欄變為兩顆虛擬鍵
※WordPress技巧:如何讓文章自動添加標籤鏈接變為內鏈
※Android P導航欄變為兩顆虛擬鍵:加入手勢操作
※Windows 10畫圖變為可選組件:很快就能卸載
※Facebook更新LOGO,顏色由深藍變為亮藍色