吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12284|回复: 36
收起左侧

[PC样本分析] 对wannacry的简单分析 by cqr2287

  [复制链接]
KaQqi 发表于 2017-5-19 20:30
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
这个病毒是坛友们提供的。看起来很严重,一探究竟(我已准备好送死的准备)
调试器:OllyDbg 小生jiack专用版
病毒样本提供:http://www.52pojie.cn/thread-608309-1-1.html



一、肉眼分析
先看下感染情况(其实在样本帖子里已经很清楚了)
QQ图片20170519191745.png
首先该样本解压后只有一个文件。这个文件是整个病毒核心。

QQ图片20170519191745.png
然后必然是双击该文件,会发现该文件在本文件夹创建了许多文件,但是并不是一下子创建的,是一个一个的,整个过程20秒左右
QQ图片20170519191745.png
上图所示便是该病毒双击后在本文件夹创建的文件状况。可见是十分多的。

QQ图片20170519191745.png
注意上图的这个程序(右边是左边的快捷方式),这个程序是用来付款的。作者把这个程序放在了桌面、各个文件夹。


二、行为分析
行为分析当然是对主程序的分析。因为主程序创建了如此多的关键文件,故要分析它。
QQ图片20170519194531.png
这里用取文件大小来判断文件是否被修改
QQ图片20170519194531.png
在系统的system32(关键系统位置)创建文件rsaenh.dll。
QQ图片20170519194531.png
检测该文件大小(就是刚刚创建的rsaenh.dll)
其次是修改系统reg内容(该部分以后再分析)
QQ图片20170519194531.png
线程的处理部分。(线程应该是为了遍历感染磁盘文件)
QQ图片20170519194531.png
其次就是在本文件夹目录上创建t.wnry
(就是我们在一开始看到的本文件夹的一堆内容中的其中一个)
QQ图片20170519194531.png
然后调用系统函数对自身进行保护。
QQ图片20170519194531.png
其次继续创建文件c.wncy,也是在本文件目录下。
QQ图片20170519194531.png
然后调用内核函数zwqueryinformationprocess来获取程序相关信息。
以此循环,直到在本目录创建出所有文件以及遍历感染磁盘文件
……
……
……
循环检测反调试,并关闭调试器
(我调试器被关了)
那么行为分析已经大致清楚他干了什么,下面进行对支付端的分析。


三、字符串分析
这回是对支付端的分析。
QQ图片20170519194531.png
这个是对于如何解锁的相关说明。
QQ图片20170519194531.png
这个是对于首付款的简单判断。


四、可能的尝试
跟进这个函数来看一看。
QQ图片20170519194531.png
该函数是收款的核心函数。我们可以在相应位置进行简单的分析。
QQ图片20170519194531.png
第一个箭头指的是failed to check your pay,意思就是检测你的支付失败。
第二个箭头指的是canguatulations,意思是祝贺。这里是不是成功呢?

QQ图片20170519194531.png
在两个关键的jnz中间下段来跟踪。
QQ图片20170519194531.png
发现是一个联网检测我们是否付款。(这就意味着麻烦了,因为是rsa2048加密)
QQ图片20170519194531.png
此处改为jmp
QQ图片20170519194531.png
此处为nop
QQ图片20170519194531.png
然后提示支付检测成功,现在开始解密。
(本人英语不怎么好)




五、总结
该程序用的是永恒之蓝漏洞,使用微软官方在3月8号发的4013389补丁打一个即可。
据我个人怀疑,这个程序应该是捆绑来传播的,因为不可能是就他一个单个,那谁会去傻到点(虽然病毒样本确实是单个)
关闭135,136,138,139,445端口
目前病毒已经有许多公司分析了,他们应该给出了方案。
祝大家快乐,好运!!


by 52pojie.cn cqr2287/cqr2003

免费评分

参与人数 19吾爱币 +19 热心值 +18 收起 理由
神奇的人鱼 + 1 谢谢@Thanks!
tomoyii + 1 + 1 原来wannacry是wana decryptor/捂脸
魔术蝎 + 1 + 1 热心回复!
stevenchu + 1 + 1 我很赞同!
远灏科技 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
fox55 + 1 + 1 谢谢@Thanks!
午夜惊魂1982 + 1 + 1 很厉害
r_zy + 1 + 1 谢谢@Thanks!
冷浸一天星 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
暗夜绝宠 + 1 + 1 我很赞同!
lin295693097 + 1 + 1 用心讨论,共获提升!
飘舞的雪花 + 1 + 1 用心讨论,共获提升!
微若清风 + 1 + 1 谢谢@Thanks!
cqkm520 + 1 + 1 谢谢@Thanks!
764375115 + 1 + 1 支付检测成功,现在开始解密????意思是能恢复被锁的文件吗
PJH2017 + 1 热心回复!
天线宝宝 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
守护神艾丽莎 + 1 + 1 已答复!
610100 + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Sp4ce 发表于 2017-5-19 23:42
本帖最后由 轩少 于 2017-5-19 23:44 编辑

分析得不错,我再补充几条
这个病毒在虚拟机中(物理机不清楚)会无限对一个隐藏文件进行写入操作(覆盖写入,减小数据恢复几率),直到你硬盘爆炸
QQ图片20170519233520.png
QQ图片20170519233509.jpg
QQ图片20170519233517.png
还有一点是他的00000000.dky,这个是病毒提取密钥的文件,病毒跟服务器通信后会检测本地是否存在这个文件,如果有才能成功解密,否则是显示成功了,但是还是无法成功解密
QQ截图20170519233712.png
QQ图片20170519233613.png
QQ图片20170519233440.png
病毒会通过本地的9050端口连接TOR网络进行通信,但是这个好像被IDC封了
QQ图片20170519233456.png
另外他会先调用当前目录(可能是内网传播时直接到system目录)的attrib进行添加隐藏属性操作,如果不存在则到系统目录调用,给自己上隐藏

免费评分

参与人数 2吾爱币 +4 热心值 +2 收起 理由
苏紫方璇 + 1 + 1 用心讨论,共获提升!
KaQqi + 3 + 1 我很赞同!

查看全部评分

 楼主| KaQqi 发表于 2017-5-19 20:34
本帖最后由 cqr2287 于 2017-5-28 17:55 编辑

by cqr2287



免费评分

参与人数 2吾爱币 +4 热心值 +2 收起 理由
枫MapleLCG + 3 + 1 期中考试什么的,活着就好
610100 + 1 + 1 热心回复!

查看全部评分

闲月疏云 发表于 2017-5-19 20:37
was172 发表于 2017-5-19 20:37
厉害了,但是看不懂啊= =
苏紫方璇 发表于 2017-5-19 20:43
膜拜正面上WannaCrypt的,不过这个分析结果真的不如二楼好看。这个传播也是用永恒之蓝漏洞进行的。前两天用网上的教程复现了下,真猛。

点评

敢死队,哈哈!  发表于 2017-5-19 20:44
枫MapleLCG 发表于 2017-5-19 21:02
台湾小哥跟作者求情,作者直接降低了整个台湾的收费。。老哥,稳。
年级第十好厉害哦,可怜我才303,差点404。
没下1000多名我就老happy了,
和小伙伴arm in arm得玩去了
越难越爱 发表于 2017-5-19 21:28
谢谢分析,小白又学到了
小新不用蜡笔了 发表于 2017-5-19 21:37
谢谢分析,小白又学到了
ytw6176 发表于 2017-5-19 21:42
开着那些端口就有机会被扫到,然后又是弱口令。就能进去
小新不用蜡笔了 发表于 2017-5-19 22:03
新手前来学习,多多关注
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 13:01

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表