WannaCry勒索病毒分析

原创 已于 2022-10-29 14:54:56 修改 · 5.7k 阅读 · 32
标签
#威胁分析 #网络安全 #安全
于 2022-10-28 20:35:20 首次发布
本文介绍了病毒分析的四部曲,包括提取样本、手工清理机器,行为分析获取病毒行为,详细分析找到恶意代码,以及提出解决方案。还阐述了样本提取、行为监控、详细代码分析的具体方法,介绍了病毒加密算法,并给出提取特征查杀、手工查杀、系统修复等应对方案。

分析病毒四部曲

在工作中,病毒分析师的任务就是从中毒的机器中提取样本,第一时间手工清理或是修复机器现场,之后再做分析。

分析病毒可以细分为四部曲:

1.提取样本,手工清理机器

2.行为分折,获取病毒行为

3.   详细分折,找到行为的恶意代码

4.   提出解决方案,提取特征给公司产品,完成查杀,编写文档报告,有条件编写专杀工具

样本的提取

在虚拟机中,运行样本(需要断网)。待病毒执行之后,开始提取样本。

使用PCHunter观察:

1.   查看可疑进程

2.查看启动项(注册表、计划任务等)

3.查看驱动、服务等可疑项

4.   查看其他杂项,网络连接

5.   使用抓包工具(WSExplorer)查看可疑流量

无异常

6、其他

样本信息:

文件: C:\Users\15PB\Desktop\Wannary\WannaCry.exe

大小: 3723264 bytes

文件版本:6.1.7601.17514 (win7sp1_rtm.101119-1850)

修改时间: 2017年5月13日, 13:55:05

MD5: DB349B97C37D22F5EA1D1841E3C89EB4

SHA1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26

SHA256:24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

CRC32: 9FBB1227

文件: C:\ProgramData\znemvazsnwpqy217\Wannacry.exe

大小: 3514368 bytes

文件版本:6.1.7601.17514 (win7sp1_rtm.101119-1850)

修改时间: 2022年7月11日, 13:22:29

MD5: 84C82835A5D21BBCF75A61706D8AB549

SHA1: 5FF465AFAABCBF0150D1A3AB2C2E74F3A4426467

CRC32: 4022FCAA

使用PEid查看样本信息,VC++6.0的程序,并且没有加壳

查看其导入表:

使用ResourceHack查看资源,发现资源中有PE文件,将其提取出来

使用PEid的插件Krypto ANALyzer查看用到那些算法:

再看看刚才从资源中提取出的wannacry2.exe,查看其导入表:

用到了创建进程、获取资源、创建服务、注册表等相关API函数

使用ResourceHack查看资源,用到了PK压缩包,将其提取出来,命名为 : wannacry3.zip

提取出来后,压缩包中的内容是加密的:

手工清理机器:

1、结束可疑进程

2、删除可疑进程启动项,删除可疑服务的注册表键值,删除生成的一些文件

3、手工无法清除病毒,需要进一步分析

行为分析

获取样本之后,在虚拟机中,使用监控工具监控样本的运行。待病毒执行差不多之后,查看病毒的行为。(本病毒程序需要断网)

使用火绒剑,将样本拖到火绒剑,对样本进行监控:

1. 文件操作,主要看文件创建、修改、删除等操作

2. 注册表操作,主要看注册表设置、创建等操作

3.   进程操作,主要看创建进程、写入内存等操作

4.网络操作,主要看网络连接地址、IP等信息

5.   其他行为,以及人肉看样本运行后的反应

查看执行监控

分析样本的行为之后,发现的恶意行为:

1、在C:\Windows目录下创建病毒文件:tasksche.exe,在C:\ProgramData目录下创建文件夹:znemvazsnwpqy217

2、创建@Please_Read_Me@.txt文件,将文件感染为.WINCRY文件

3、创建注册表键值、设置注册表键值,HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\WannaCry_RASAPI32

HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\WannaCry_RASMANCS

4、设置启动项:C:\ProgramD

最低0.47元/天 解锁文章
Wannacry病毒分析
datouyu0824的博客
03-20 3515
1.样本概况 1.1 样本信息 病毒名称:Wannacry 所属家族:WannaCrypt MD5值:DB349B97C37D22F5EA1D1841E3C89EB4 SHA1值:E889544AFF85FFAF8B0D0DA705105DEE7C97FE26 CRC32:9FBB1227 病毒行为概述: 1. 创建服务并已服务的方式启动,并释放tasksche.exe文件在系统目录下并启动 2. 设置服务主函数,在局域网,互联网内445端口连接SMB漏洞攻击 3. tasksche.e
linux勒索病毒分析,永恒之蓝的勒索病毒tasksche.exe样本分析
weixin_32103009的博客
05-13 2833
内容:分析病毒结构,写出病毒如何利用漏洞进行攻击,详细剖析勒索病毒的运行过程,使用了什么加密算法,调用了什么系统API。进阶:中了该勒索病毒,怎么恢复数据样本分析首先是看下病毒样本的哈希值图片.png查壳信息,win32程序无壳:图片.png载入IDA后,先查看字符串,看到有RSA和AES,猜测之后会使用这两种加密方式:图片.png用IDA的findcrypto插件,找到了AES算法的特征:图片....
WannaCry勒索病毒实战分析:从入侵到加密的全过程拆解(附防御方案)
最新发布
weixin_29325007的博客
03-28 260
本文深度解析了WannaCry勒索病毒的攻击链,从初始感染向量到加密流程的七个关键阶段,并提供了企业级防御方案。通过分析EternalBlue漏洞利用和持久化机制,揭示了病毒的传播方式。文章还详细介绍了网络边界控制、终端防护和漏洞管理的最佳实践,帮助企业构建立体防护体系。
WannaCry病毒分析
草草君
12-11 2516
样本类型:勒索病毒样本md5:84c82835a5d21bbcf75a61706d8ab549。
Wannacry勒索病毒样本分析
热门推荐
谈成(C/C++)
05-14 1万+
一、病毒简介: WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发,至少15
盘盘那些牛逼的勒索病毒(附样本)
Peter_FHC的博客
01-15 8644
盘点那些比较牛的勒索病毒
Wannacry勒索病毒分析
qq_31507523的博客
06-17 1万+
Wannacry病毒分析 在15pb刚毕业,准备找活了,之前有幸听过奇安信的招聘会,大佬说,永恒之蓝病毒现在还在某些地方流行着,是经典的勒索病毒。这让我觉得分析这个病毒是刷经验的好机会,所以就在决定分析一下这个在2017年的纵横江湖无敌手的勒索之王,由于是新手入坑,不对之处还请多多指教(●ˇ∀ˇ●) 分析平台:win7虚拟机 分析工具:OD、IDA 辅助工具:LordPE、PEID、010Edi...
Wannacry2.0勒索病毒分析----小白流深度解析
weixin_49009841的博客
10-07 7671
针对Wannacry2.0勒索病毒的动静态初步分析
勒索病毒WannaCry深度技术分析
weixin_33991418的博客
08-02 1581
雷锋网注:本文由火绒安全授权雷锋网宅客频道转载 一、综述 5月12日,全球爆发的勒索病毒WannaCry借助高危漏洞“永恒之蓝”(EternalBlue)在世界范围内爆发,据报道包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等百余个国家均遭受大规模攻击。我国的许多行业机构和大型企业也被攻击,有的单位甚至“全军覆没”,损失之严重为近年来所罕见...
勒索病毒简介
Palpitate_LL的博客
07-17 1696
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。• 勒索病毒通常使用非对称和对称加密算法组合的形式来加密文件,绝大部分勒索病毒均无法通过技术手段解密,一般无法溯源,危害巨大。
.Cobain勒 索 病 毒 分 析
weixin_66825409的博客
06-07 2214
病 毒 加 密 采 用 了 AES 与 sha1/256数 字加 密 的 这种 模 式 , RSA与 AES这种 数 字加 密 很常见, 当然已有 公 司 能 够 解 该 勒 索 .水平有 限, 部 分 算 法 逆向这里就不 贴出了 , 因为算 法 函 数 分 析 不 到 位, 加 密 分 析 不 系统与 不 完善。样 本 大 小 1583617 bytes。样 本 名 cobain_en.exe。回 调 函 数 偏移。
Petya勒索病毒(2016.4月样本)分析笔记
r250414958的博客
11-28 5616
前言 之所以不叫分析报告,是因为接下来要看到的分析,可能包含了不正确的,或者有疑点,和未完全分析的,里面有我个人的主观臆断,或者一些我目前未察觉的错误,还有一些非常基础,非常啰嗦的内容,这都是为了复习我以前的一些知识,或者是做一个记录防止以后可能需要用到。还有一些可能在分析中新学习的知识可能有很多不正确,或者不确定,因为我个人能力有限没察觉到的地方,所以只能称为我个人的分析笔记,因为我当时是这样想...
应急响应-勒索病毒检测指南&Win&Linux样本演示&家族识别&分析解密
SuperherRo的博客
04-09 3677
1、勒索病毒危害影响? 2、勒索病毒怎么传播的? 3、勒索病毒有哪些家族? 4、勒索病毒如何进行处置?
一分钟了解勒索病毒WannaCry(永恒之蓝)
weixin_33912445的博客
11-23 2074
勒索病毒WannaCry(永恒之蓝) 日前,"永恒之蓝"席卷全球,已经有90个国家遭到攻击。国内教育网是遭到攻击的重灾区。不过,在安装相对老旧版本Windows的电脑普遍遭到攻击之时,不少安装linux衍生版操作系统的电脑和苹果电脑逃过一劫。不少网友在网上纷纷表示庆幸,并对linux或苹果的安全性大加赞美之词。但实际上,并非是这些操作系统在技术上拥...
蓝队技能-应急响应篇&勒索病毒&系统样本家族&解密渠道&寄生入口&异常定性&处置封锁
SuperherRo的博客
08-22 1828
1、应急响应-勒索病毒-定性&排查 2、应急响应-勒索病毒-应急&处置
勒索病毒基础知识
i13145821的博客
01-25 4108
勒索病毒,也可以叫做勒索软件,是一种“阻断访问式攻击”(denial-of-access attack),与其他的计算机病毒不同的是,勒索病毒是一类用各种方法如加密、锁屏等来阻止受害者访问计算机或者获取计算机中的数据,并用这些作为筹码要挟受害者支付赎金的病毒。攻击者通常会使用钓鱼邮件、系统漏洞等方式进行攻击,勒索病毒会在进入目标后会自动运行,对计算机中的各类数据进行加密,使受害者无法正常使用计算机或获取计算机中的数据。
病毒样本分析学习二
weixin_45299049的博客
10-04 1640
这次的病毒样本功能比较复杂,还有很多关键点都没有分析出来,总的来说这是一个通过永恒之蓝漏洞进行传播的病毒样本。他通过从初始文件提取资源,生成tasksche.exe,也就是核心病毒文件,并且将病毒启动写入到系统服务中,而后随机生成IP地址,不断的探测其他主机是否存在永恒之蓝漏洞。
WannaCry 勒索软件
tlm414的专栏
10-23 2177
WannaCry 勒索软件是2017年最热门的勒索软件,它利用微软漏洞在全球范围内发起的攻击令世界上100多个国家的成千上万的用户深受影响。俨然一场全球范围内的网络安全普及教育。 作为一名安全行业工作者,我对WannaCry进行了深度的分析。 完整的分析可以帮助安全行业工作者了解黑客的的最新攻击手段,为防护领域的解决方案提供有价值的信息,更进一步尝试发现软件弱点,为客户提供有价值的数据恢复服务。...
勒索病毒分析报告
w_g3366的博客
09-07 4766
文章目录勒索病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2.具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1.样本概况 1.1 样本信息 病毒名称:DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值