绿盟 WannaCry勒索软件溯源分析

m o c . 5 WannaCry 勒索软件溯源分析 ■ 文档编号请输入文档编号 ■ 密级 ■ 版本编号 1.0 ■ 日期 h t i g b u 请输入文档密级 © 2017 绿盟科技 ■ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 m o c . 5 b u ■ 版本变更记录 h t i g 时间版本说明 2017/5/15 1.0 创建修改人 ■ 适用性声明本文档用于引导企业通过正确的流程和手段进行危害抑制和损失控制，供企业安全管理人员、运维人员以及绿盟科技安全服务人员使用。 WannaCry 勒索软件溯源分析目录一.综述 .................................................................................................................................................. - 1 二.WANNACRY 2.0 版本乌龙事件 ........................................................................................................ - 1 三.勒索软件分析 ................................................................................................................................... - 4 3.1 样本信息 ...................................................................................................................................... - 4 3.2 样本对比分析 .............................................................................................................................. - 4 3.3 变种版本分析说明 ...................................................................................................................... - 9 - m o c . 5 四.总结 .................................................................................................................................................. - 9 - b u h t i g -I- WannaCry 勒索软件溯源分析一. 综述从 5 月 12 日开始，WannaCry 勒索软件在世界范围内迅速传播，造成了极大的影响，安全行业的各个公司都对此次事件开展了分析和防护工作，绿盟科技的技术人员也在第一时间对样本进行分析并出具了详细的分析报告。但我们不禁要问，WannaCry 勒索软件是谁做的？攻击者是谁？他的目的是什么？这就 m o c . 5 需要用到达尔文探索物种起源的最基本方法，观察、找到、比对和分析。在上周六绿盟科技通过威胁情报监测，截获 WannaCry2.0 勒索病毒两个变种，经过对比分析，发现没有本质变化绿盟科技的防护措施仍然有效。在随后的追踪过程中，我们发现 2017 年 2 月曾出现了与 3 月份相似度极高的样本 Wcry，国外安全团队分析认为，2017 年 2 月份样本与 2015 年 2 月 Lazarus APT 组织的样本代码非常相似。 b u 这个新发现，促使绿盟科技安全团队进行了进一步研究，本文就是对 2015 年 2 月 Lazarus APT 组织的样本、2017 年 2、3 月份 Wcry 样本与此次事件 WannaCry 样本的对比 h t i g 分析，从分析中可以得到一个结论，WannaCry 才是 Wcry 的 2.0 版本。二. WannaCry 2.0 版本乌龙事件 5 月 12 日爆发出的勒索软件 WannaCry 被技术人员分析出其中存在一个“域名开关（www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com）”,即如果蠕虫在运行后能够成功访问该域名，则程序会直接退出，加密行为也会被终止；反之则会继续进行传播与加密等恶意行为。由于该域名在样本是明文状态，可以被更改，这也是后续的“2.0 版本”产生的原因。在 5 月 13 日，卡巴斯基对一家国外媒体表示“我们确定有一些样本是没有域名开关的”。图 2.1 卡巴斯基发表的错误声明虽然该消息随后便被删除并且卡巴斯基的技术人员也发表了消息澄清“并没有发现没有域名开关的样本”，但是该乌龙事件已经被大家误解并且传开，有些团队把 WannaCry 释放出来的文件以及持续出现的变种版本称为 2.0 版本。 © 2017 绿盟科技 -1- 密级：请输入文档密级 WannaCry 勒索软件溯源分析 m o c . 5 图 2.2 卡巴斯基人员澄清消息尽管 2.0 版本源于一个乌龙事件，但是经过更深入的分析了解后，绿盟科技的技术人员确实发现早在 3 月份就被发现并提交的一个 Wcry 勒索软件样本，与 5 月 12 日爆发的勒索软件的解密组件属于同源。3 月份的勒索软件样本与 5 月 12 日爆发的 WannaCry 样本感染主机后 b u 释放出来的勒索软件的解密组件文件几乎完全相同。针对 WannaCry 继续追踪，发现 2017 年 2 月曾出现了与 3 月份相似度极高的样本。 h t i g 通过国外的安全团队分析发现 2 月份样本与 2015 年 2 月 Lazarus APT 组织的样本代码非常相似。 © 2017 绿盟科技 -2- 密级：请输入文档密级 WannaCry 勒索软件溯源分析 m o c . 5 b u h t i g 该组织曾经进行过索尼 wiper 攻击、孟加拉银行攻击以及 DarkSeoul 行动。 © 2017 绿盟科技 -3- 密级：请输入文档密级 WannaCry 勒索软件溯源分析三. 勒索软件分析 3.1 样本信息勒索软件的解密组件版本与名称 1.0 Wcry 2.0 WannaCry （u.wnry） MD5 文件大小 b0ad5902366f860f85b892867e5b1e87 237,568 字节 m o c . 5 7bf2b57f2a205768755c07f238fb32cc 勒索软件的解密组件版本与名称 245,760 字节文件大小 MD5 注：u.wnry 为 WannaCry 释放出的 tasksche.exe（勒索软件）文件运行后继而释放而 b u 来，详情可以参考绿盟科技发布的《WanaCry 蠕虫样本分析报告》。 3.2 样本对比分析 h t i g 如下图所示，可以看出，2 款勒索软件的解密组件的流程完全一致。 © 2017 绿盟科技 -4- 密级：请输入文档密级 WannaCry 勒索软件溯源分析 1.0 Wcry 流程图 m o c . 5 b u h t i g 2.0 WannaCry 的 u.wnry 流程图在解密流程方面，2 款勒索软件的解密组件也几乎一致，如下： © 2017 绿盟科技 -5- 密级：请输入文档密级 WannaCry 勒索软件溯源分析 m o c . 5 b u h t i g 上图为 1.0 Wcry 的解密流程，下图为 2.0 WannaCry 的 u.wnry 的解密流程： © 2017 绿盟科技 -6- 密级：请输入文档密级 WannaCry 勒索软件溯源分析 m o c . 5 b u h t i g 略微不同的是，1.0 Wcry 将需要调用的相关函数直接导入在导入表里，而 2.0 WannaCry 的 u.wnry 会将需要的函数存放在字符串中，然后动态获得存放在全局变量中进行使用。 © 2017 绿盟科技 -7- 密级：请输入文档密级 WannaCry 勒索软件溯源分析 1.0 Wcry 导入列表 2.0 WannaCry 的 u.wnry 字符串列表在解密功能的函数被调用后，2 个勒索软件的解密组件的运行流程也几乎完全一样。 m o c . 5 b u 2.0 WannaCry 的 u.wnry 1.0 Wcry 另外，在样本中还出现了有关于版本的硬编码信息： h t i g 上图为 Wcry 样本中的信息上图为 WannaCry 的 u.wnry 样本中的信息从种种迹象中看来，3 月份就爆出的 Wcry 算的上是该勒索软件的 1.0 版本，此时该软件仅仅作为单独的勒索软件的解密组件存在，并不具备主动传播的能力。WannaCry 在原有的勒索软件基础上，利用了微软 SMB 漏洞以及 DOUBLEPULSAR 后门，从而有了超强传播蔓延能力，可以算的上是真正的 2.0 版本了。 © 2017 绿盟科技 -8- 密级：请输入文档密级 WannaCry 勒索软件溯源分析 3.3 变种版本分析说明由于“域名开关”在 2.0 WannaCry 样本中是作为明文存在的，这一特点为其变种版本的产生提供了极大的方便，网上流传的“2.0 版本”除了是 WannaCry 释放出来的勒索软件本身，还有一部分就是修改了“域名开关”后得来的变种版本了，详细信息可以参考绿盟科技发布的《WannaCry 变种样本初步分析报告》。该分析报告中也说明了其实所为的“2.0 版本”只是在原有的 WannaCry 版本上修改了“域名开关”以及跳转等更改而得来的变种版本，其实与 WannaCry 都