该资源主要复现了WannCry勒索病毒过程,包括对应的资源、文章和勒索病毒。希望对您有所帮助~
本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。
WannaCry勒索病毒主要行为是传播和勒索。
- 传播:利用基于445端口的SMB漏洞MS17-010(永恒之蓝)进行传播
- 勒索:释放文件,包括加密器、解密器、说明文件、语言文件等;内存加载加密器模块,加密执行类型文件,全部加密后启动解密器;解密器启动后,设置桌面背景显示勒索信息,弹出窗口显示付款账号和勒索信息
其他文件内容如下,下一篇文章会详细介绍勒索原理。
- b.wnry: 中招敲诈者后桌面壁纸
- c.wnry: 配置文件,包含洋葱域名、比特币地址、tor下载地址等
- f.wnry: 可免支付解密的文件列表
- r.wnry: 提示文件,包含中招提示信息
- s.wnry: zip文件,包含Tor客户端
- t.wnry: 测试文件
- u.wnry: 解密程序
参考文章:
WannaCry勒索病毒复现及分析(一)Python利用永恒之蓝及Win7勒索加密
WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDA和OD逆向
WannaCry运行的整体流程推荐安天公司的框架图,如下图所示:
- 主程序文件利用漏洞传播自身,运行WannaCry勒索程序
- WannaCry勒索程序释放tasksche.exe,对磁盘文件进行加密勒索
- @WanaDecryptor@.exe显示勒索信息,解密示例文件
其中,图中上半部分为WannaCry蠕虫的传播部分,该蠕虫通过网络进行传播,有自我复制和传播迅速等特点。传播步骤如下:
- 连接远程域名
- 安装并启动服务
- 建立局域网或公网IP表,为每个IP依次创建线程
- 尝试连接445端口,测试是否存在SMB漏洞
- 如果存在漏洞,则发送包含动态库的Payload进行攻击
- 执行shellcode并使用APC注入将生成的dll注入到进程lsass.exe
- dll调用导出函数PlayGame,释放资源文件并保存为mssecsvc.exe执行,释放勒索程序tasksche.exe
- 被攻击计算机继续使用MS17-010漏洞进行传播
为了更好帮助读者,作者将参考文献提前。下面给出下各大安全厂商及安全大佬对WannaCry蠕虫分析的文章,强烈推荐大家阅读,作者也吸取了它们的精华,在此感谢。
-
安全厂商样本分析:
[1] 安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告
[2] [分享] 勒索病毒WannaCry深度技术分析——详解传播、感染和危害细节 - 火绒安全
[3] WannaCry勒索病毒详细解读 - 腾讯电脑管家
[4] NSA Eternalblue SMB 漏洞分析 - 360核心安全
[5] 针对WannaRen勒索软件的梳理与分析 - 安天
[6] 【权威报告】WanaCrypt0r勒索蠕虫完全分析报告 - 360追日
[7] WannaCry勒索病毒分析报告 - 瑞星 -
安全大佬样本分析: [1] 对WannaCry的深度分析 - 鬼手56(勒索部分详解)
[2] [原创]WannaCry勒索软件中“永恒之蓝”漏洞利用分析 - 展博
[3] [原创]通过Wannacry分析内核shellcode注入dll技术 - dragonwang
[4] [病毒分析]WannaCry病毒分析(永恒之蓝) - 小彩虹
[5] WannaCry勒索病毒逆向和内网传播数据分析 - sec360zz
[6] 首发 | Wannacry勒索软件母体主程序逆向分析(含临时解决方案自动化工具)- expsky
[7] [原创]WannaCry深度详细分析报告(很细很深)- anhkgg
[8] https://github.com/rapid7/metasploit-framework
By:Eastmount 2020-04-27