请输入文档标题

Size: px

Start display at page:

Download "请输入文档标题"

宾宓杨
5 years ago
Views:

1 文档编号请输入文档编号密级请输入文档密级版本编号 1.0 日期 2017 绿盟科技

3 目录一. 综述二.WANNACRY 2.0 版本乌龙事件三. 勒索软件分析样本信息样本对比分析变种版本分析说明四. 总结 I -

4 一. 综述从 5 月 12 日开始,WannaCry 勒索软件在世界范围内迅速传播, 造成了极大的影响, 安全行业的各个公司都对此次事件开展了分析和防护工作, 绿盟科技的技术人员也在第一时间对样本进行分析并出具了详细的分析报告但我们不禁要问,WannaCry 勒索软件是谁做的? 攻击者是谁? 他的目的是什么? 这就需要用到达尔文探索物种起源的最基本方法, 观察找到比对和分析在上周六绿盟科技通过威胁情报监测, 截获 WannaCry2.0 勒索病毒两个变种, 经过对比分析, 发现没有本质变化绿盟科技的防护措施仍然有效在随后的追踪过程中, 我们发现 2017 年 2 月曾出现了与 3 月份相似度极高的样本 Wcry, 国外安全团队分析认为,2017 年 2 月份样本与 2015 年 2 月 Lazarus APT 组织的样本代码非常相似这个新发现, 促使绿盟科技安全团队进行了进一步研究, 本文就是对 2015 年 2 月 Lazarus APT 组织的样本 2017 年 2 3 月份 Wcry 样本与此次事件 WannaCry 样本的对比分析, 从分析中可以得到一个结论,WannaCry 才是 Wcry 的 2.0 版本二. WannaCry 2.0 版本乌龙事件 5 月 12 日爆发出的勒索软件 WannaCry 被技术人员分析出其中存在一个域名开关 ( 即如果蠕虫在运行后能够成功访问该域名, 则程序会直接退出, 加密行为也会被终止 ; 反之则会继续进行传播与加密等恶意行为由于该域名在样本是明文状态, 可以被更改, 这也是后续的 2.0 版本产生的原因在 5 月 13 日, 卡巴斯基对一家国外媒体表示我们确定有一些样本是没有域名开关的图 2.1 卡巴斯基发表的错误声明虽然该消息随后便被删除并且卡巴斯基的技术人员也发表了消息澄清并没有发现没有域名开关的样本, 但是该乌龙事件已经被大家误解并且传开, 有些团队把 WannaCry 释放出来的文件以及持续出现的变种版本称为 2.0 版本 2017 绿盟科技密级 : 请输入文档密级

12 日爆发的勒索软件的解密组件属于同源 3 月份的勒索软件样本与 5 月 12 日爆发的 WannaCry

5 图 2.2 卡巴斯基人员澄清消息尽管 2.0 版本源于一个乌龙事件, 但是经过更深入的分析了解后, 绿盟科技的技术人员确实发现早在 3 月份就被发现并提交的一个 Wcry 勒索软件样本, 与 5 月 12 日爆发的勒索软件的解密组件属于同源 3 月份的勒索软件样本与 5 月 12 日爆发的 WannaCry 样本感染主机后释放出来的勒索软件的解密组件文件几乎完全相同针对 WannaCry 继续追踪, 发现 2017 年 2 月曾出现了与 3 月份相似度极高的样本通过国外的安全团队分析发现 2 月份样本与 2015 年 2 月 Lazarus APT 组织的样本代码非常相似 2017 绿盟科技密级 : 请输入文档密级

6 该组织曾经进行过索尼 wiper 攻击孟加拉银行攻击以及 DarkSeoul 行动 2017 绿盟科技密级 : 请输入文档密级

7 三. 勒索软件分析 3.1 样本信息勒索软件的解密组件版本与名称 MD5 文件大小 1.0 Wcry b0ad f860f85b892867e5b1e87 237,568 字节 2.0 WannaCry (u.wnry) 勒索软件的解密组件版本与名称 7bf2b57f2a c07f238fb32cc MD5 245,760 字节文件大小注 :u.wnry 为 WannaCry 释放出的 tasksche.exe( 勒索软件 ) 文件运行后继而释放而来, 详情可以参考绿盟科技发布的 WanaCry 蠕虫样本分析报告 3.2 样本对比分析如下图所示, 可以看出,2 款勒索软件的解密组件的流程完全一致 2017 绿盟科技密级 : 请输入文档密级

8 1.0 Wcry 流程图 2.0 WannaCry 的 u.wnry 流程图在解密流程方面,2 款勒索软件的解密组件也几乎一致, 如下 : 2017 绿盟科技密级 : 请输入文档密级

9 上图为 1.0 Wcry 的解密流程, 下图为 2.0 WannaCry 的 u.wnry 的解密流程 : 2017 绿盟科技密级 : 请输入文档密级

10 略微不同的是,1.0 Wcry 将需要调用的相关函数直接导入在导入表里, 而 2.0 WannaCry 的 u.wnry 会将需要的函数存放在字符串中, 然后动态获得存放在全局变量中进行使用 2017 绿盟科技密级 : 请输入文档密级

u.wnry 样本中的信息从种种迹象中看来,3 月份就爆出的 Wcry 算的上是该勒索软件的 1.

11 1.0 Wcry 导入列表 2.0 WannaCry 的 u.wnry 字符串列表在解密功能的函数被调用后,2 个勒索软件的解密组件的运行流程也几乎完全一样 1.0 Wcry 2.0 WannaCry 的 u.wnry 另外, 在样本中还出现了有关于版本的硬编码信息 : 上图为 Wcry 样本中的信息上图为 WannaCry 的 u.wnry 样本中的信息从种种迹象中看来,3 月份就爆出的 Wcry 算的上是该勒索软件的 1.0 版本, 此时该软件仅仅作为单独的勒索软件的解密组件存在, 并不具备主动传播的能力 WannaCry 在原有的勒索软件基础上, 利用了微软 SMB 漏洞以及 DOUBLEPULSAR 后门, 从而有了超强传播蔓延能力, 可以算的上是真正的 2.0 版本了 2017 绿盟科技密级 : 请输入文档密级

12 3.3 变种版本分析说明由于域名开关在 2.0 WannaCry 样本中是作为明文存在的, 这一特点为其变种版本的产生提供了极大的方便, 网上流传的 2.0 版本除了是 WannaCry 释放出来的勒索软件本身, 还有一部分就是修改了域名开关后得来的变种版本了, 详细信息可以参考绿盟科技发布的 WannaCry 变种样本初步分析报告该分析报告中也说明了其实所为的 2.0 版本只是在原有的 WannaCry 版本上修改了域名开关以及跳转等更改而得来的变种版本, 其实与 WannaCry 都属于 Wcry 的 2.0 版本四. 总结虽然目前网上大家所传的 WannaCry 2.0 版本是因为一起乌龙事件而起, 这些版本只是 WannaCry 的一些变种版本或是 WannaCry 释放出的勒索软件本身然而在经过分析之后, 由于 WannaCry 所释放的勒索软件解密组件与 3 月份就存在的 Wcry 勒索软件几乎完全一致, 我们完全可以将 WannaCry 称之为 Wcry 的 2.0 版本 ; 除了勒索软件本身,WannaCry 拥有了传播框架 : 微软的 SMB 服务漏洞 (MS17-010) 以及 DOUBLEPULSAR 后门, 这使得原本不具有主动传播能力的 Wcry 勒索软件拥有了极强的传播能力, 由此才被称之为 WannaCry 绿盟科技密级 : 请输入文档密级

声明本安全公告仅用来描述可能存在的安全问题, 绿盟科技不为此安全公告提供任何保证或承诺由于传播利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失, 均由使用者本人负责, 绿盟科技以及安全公告作者不为此承担任何责任绿盟科技拥有对此安全公告的修改和解释权如欲转载或传播此安全公告,

为政府运营商金融能源互联网以及教育医疗等行业用户, 提供具有核心竞争力的安全产品及解决方案, 帮助客户实现业务的安全顺畅运行基于多年的安全攻防研究, 绿盟科技在网络及终端安全互联网基础安全合规及安全管理等领域, 为客户提供入侵检测 / 防护抗拒绝服务攻击远程安全评估以及 Web

13 声明本安全公告仅用来描述可能存在的安全问题, 绿盟科技不为此安全公告提供任何保证或承诺由于传播利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失, 均由使用者本人负责, 绿盟科技以及安全公告作者不为此承担任何责任绿盟科技拥有对此安全公告的修改和解释权如欲转载或传播此安全公告, 必须保证此安全公告的完整性, 包括版权声明等全部内容未经绿盟科技允许, 不得任意修改或者增减此安全公告内容, 不得以任何方式将其用于商业目的关于绿盟科技北京神州绿盟信息安全科技股份有限公司 ( 简称绿盟科技 ) 成立于 2000 年 4 月, 总部位于北京在国内外设有 30 多个分支机构, 为政府运营商金融能源互联网以及教育医疗等行业用户, 提供具有核心竞争力的安全产品及解决方案, 帮助客户实现业务的安全顺畅运行基于多年的安全攻防研究, 绿盟科技在网络及终端安全互联网基础安全合规及安全管理等领域, 为客户提供入侵检测 / 防护抗拒绝服务攻击远程安全评估以及 Web 安全防护等产品以及专业安全服务北京神州绿盟信息安全科技股份有限公司于 2014 年 1 月 29 日起在深圳证券交易所创业板上市交易, 股票简称 : 绿盟科技, 股票代码 : 绿盟科技官方微博二维码绿盟科技官方微信二维码 2017 绿盟科技密级 : 请输入文档密级