席卷全球的WannaCry勒索病毒已經擴散至100多個國家和地區,包括醫院����、機場���、政府部門等單位都無一例外的遭受到了攻擊����。勒索病毒結合蠕蟲病毒的方式進行傳播,是造成此次攻擊事件大規模爆發的重要原因���。
騰訊安全反病毒實驗室及時響應此次攻擊事件�����,搜集相關信息��,初步判斷WannaCry病毒在爆發之前已經存在于互聯網中���,并且病毒目前仍然在進行變種。在監控到的樣本中��,發現疑似黑客的開發路徑�,有的樣本名稱已經變為“WannaSister.exe”��,從“想哭(WannaCry)”變成“想妹妹(WannaSister)”。
(騰訊安全反病毒實驗室96小時勒索病毒監控圖)
雖然此次WannaCry勒索病毒攻擊波及全球���,并在短期迅速擴散���,但實際破壞性并不算大。
騰訊安全反病毒實驗室安全專家馬勁松表示��,這次勒索病毒的作惡手法沒有顯著變化���,只是這次與微軟漏洞結合�����。目前針對勒索病毒已經找到了有效的防御方法,而且周一開始病毒傳播已在減弱���,用戶只要掌握正確的方法就可以避免��。建議廣大網友不必太驚慌�,關注騰訊安全聯合實驗室和騰訊電腦管家的研究和防御方案�,也呼吁行業理性應對���。
WannaCry勒索病毒5月9日或已開始作祟
騰訊安全反病毒實驗室溯源勒索病毒的傳播方式之后發現���,病毒在12日大規模爆發之前,很有可能就已經通過掛馬的方式在網絡中進行傳播�����。在一個來自巴西被掛馬的網站上可以下載到一個混淆的html文件����,html會去下載一個前綴為task的exe文件,而諸多信息表明�,此文件很有可能與12號爆發的WannaCry勒索病毒有著緊密關系�。
根據騰訊反病毒實驗室威脅情報數據庫中查詢得知,此文件第一次出現的時間是2017年5月9號���。WannaCry的傳播方式�,最早很可能是通過掛馬的方式進行傳播��。12號爆發的原因���,正是因為黑客更換了傳播的武器庫�����,挑選了泄露的MS17-010漏洞���,才造成這次大規模的爆發。當有其他更具殺傷力的武器時���,黑客也一定會第一時間利用���。
(WannaCry勒索病毒時間軸)
升級WannaSister “想妹妹” 勒索病毒4種方式企圖逃避殺軟查殺
當傳播方式“鳥槍換大炮”后,黑客也在“炮彈”上開始下功夫����。在騰訊安全反病毒實驗室已獲取的樣本中找到一個名為WannaSister的樣本,而這個樣本應該是病毒作者持續更新�����,用來逃避殺毒軟件查殺的對抗手段��。
(“WannaSister”的病毒樣本)
馬勁松指出��,此樣本首次出現在13號����,這說明自從病毒爆發后��,病毒作者也在持續更新���,正在想辦法讓大家從“WannaCry想哭”更新到“WannaSister想妹妹”���。就目前掌握的信息,自12號病毒爆發以后�,病毒樣本出現了至少4種方式來對抗安全軟件的查殺�����,這也再次印證了WannaCry還在一直演化��。
方式一:加殼
在分析的過程中��,我們發現已經有樣本在原有病毒的基礎上進行了加殼的處理���,以此來對抗靜態引擎的查殺�,而這個樣本最早出現在12號的半夜11點左右,可見病毒作者在12號病毒爆發后的當天����,就已經開始著手進行免殺對抗。下圖為殼的信息��。
通過加殼后���,分析人員無法直接看到有效的字符串信息,這種方式可以對抗殺毒軟件靜態字符串查殺�。
通過使用分析軟件OD脫殼后,就可以看到WannaCry的關鍵字符串��。包括c.wnry加密后的文件�,wncry@2ol7解密壓縮包的密碼����,及作者的3個比特幣地址等。
病毒作者并非只使用了一款加殼工具對病毒進行加密�����,在其他樣本中�,也發現作者使用了安全行業公認的強殼VMP進行加密�����,而這種加密方式�����,使被加密過的樣本更加難以分析��。
我們通過驗證使用VMP加密過的樣本���,發現非常多的殺毒廠商已無法識別�����。
方式二:偽裝
在收集到的樣本中���,有一類樣本在代碼中加入了許多正常字符串信息,在字符串信息中添加了許多圖片鏈接����,并且把WannaCry病毒加密后,放在了自己的資源文件下���。這樣即可以混淆病毒分析人員造成誤導�����,同時也可以躲避殺軟的查殺�。下圖展示了文件中的正常圖片鏈接
當我們打開圖片鏈接時����,可以看到一副正常的圖片。誤導用戶�,讓用戶覺得沒有什么惡意事情發生。
但實際上病毒已經開始運行��,會通過啟動傀儡進程notepad����,進一步掩飾自己的惡意行為�����。
隨后解密資源文件����,并將資源文件寫入到notepad進程中����,這樣就借助傀儡進程啟動了惡意代碼���。
方式三:偽造簽名
在分析14號的樣本中�,我們發現病毒作者開始對病毒文件加數字簽名證書�����,用簽名證書的的方式來逃避殺毒軟件的查殺��。但是簽名證書并不是有效的,這也能夠看出作者添加證書也許是臨時起意�,并沒有事先準備好。
我們發現病毒作者對同一病毒文件進行了多次簽名��,嘗試繞過殺軟的方法��。在騰訊反病毒實驗室獲取的情報當中�,我們可以發現兩次簽名時間僅間隔9秒鐘,并且樣本的名字也只差1個字符���。
方式四:反調試
病毒作者在更新的樣本中���,也增加了反調試手法:
1 通過人為制造SEH異常,改變程序的執行流程
2 注冊窗口Class結構體�����,將函數執行流程隱藏在函數回調中��。
騰訊安全反病毒實驗室安全專家馬勁松表示�,伴隨著以騰訊電腦管家為代表的國產安全廠商的及時應對,上線了一套包含勒索病毒離線版免疫工具����、勒索病毒專殺工具、文件恢復工具及文檔守護者等多種工具的完整應對策略���,目前勒索病毒的蔓延情況已經明顯放緩���。但騰訊安全反病毒實驗室會繼續追蹤病毒演變����,并密切關注事態的進展,嚴陣以待�����,做好打持久戰的準備,堅決遏制勒索病毒蔓延趨勢�。
京公網安備 11010502041587號