绿盟 WannaCry变种样本初步分析报告

m o c . 5 WannaCry 变种样本初步分析报告 ■ 文档编号请输入文档编号 ■ 密级 ■ 版本编号 1.0 ■ 日期 h t i g b u 请输入文档密级 © 2017 绿盟科技 ■ 版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 m o c . 5 b u ■ 版本变更记录 h t i g 时间版本说明 2017/5/15 1.0 创建修改人 ■ 适用性声明本文档用于引导企业通过正确的流程和手段进行危害抑制和损失控制，供企业安全管理人员、运维人员以及绿盟科技安全服务人员使用。目录一. 概述 .................................................................................................................................................... 1 二. 变种样本与源样本分析对比 ............................................................................................................. 1 三. 影响范围............................................................................................................................................ 7 四. 防护措施............................................................................................................................................ 7 五. 附录.................................................................................................................................................... 8 b u m o c . 5 h t i g -I- WannaCry 变种样本初步分析报告一. 概述 5 月 14 日，卡巴斯基的研究人员宣称他们发现了 WannaCry 的变种样本，此变种没有包含域名开关，同时修改了样本执行过程中的某个跳转，取消了开关域名的退出机制，无论开关域名是否可以访问，都会执行后续恶意操作。我们对此次的变种事件高度关注，以最快速度拿到样本并进行了分析。通过初步的分析和与初代 WannaCry 样本的对比分析，我们认为目前搜集到的两个变种，应该都是在原有蠕虫样本上直接进行二进制修改而成的，不是基于源代码编译的。不排除有人同样利用这种方式生成其他变种，以造成更大破坏。 m o c . 5 从防护方面来看，变种样本仍然利用了 MS17-010 漏洞和 DOUBLEPLUSAR 后门进行传播，没有新的传播方式，因此我司的防护措施都仍然有效。 b u 二. 变种样本与源样本分析对比 h t i g 此次分析了两个恶意样本，具体的文件信息如下表所示：变种 1 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf.bin MD5 D5DCD28612F4D6FFCA0CFEAEFD606BCF SHA1 CF60FA60D2F461DDDFDFCEBF16368E6B539CD9BA SHA256 32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF 变种 2 07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd.bin MD5 D724D8CC6420F06E8A48752F0DA11C66 SHA1 3B669778698972C402F7C149FC844D0DDB3A00E8 SHA256 07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD 变种 1 对比分析结果通过 16 进制文件的对比分析，变种 1 与初代 WannaCry 样本的不同只有一处：连接域名相差两个字符，目前变种 1 中包含的域名也已被相关组织接管，能够保持连通的状态，因此并不会造成此恶意病毒的进一步感染和传播。 © 2017 绿盟科技 -1- WannaCry 变种样本初步分析报告 b u m o c . 5 h t i g 图 2.1 变种 1 样本与初代样本对比结果 © 2017 绿盟科技 -2- WannaCry 变种样本初步分析报告图 2.2 变种 1 样本中包含域名的解析结果变种 2 对比分析结果 m o c . 5 使用与变种 1 相似的分析方法，首先将变种 2 样本和初代样本文件进行对比，可以发现其主要的不同有三处：其一为 WinMain 函数的某处跳转更改，其二为域名地址部分，其三为资源段的部分内容（结合了后续的分析结果得出的结论）。在 WinMain 函数中，变种 2 的样本文件中修改了某一跳转指令，顺次执行后续的指令。这个跳转修改直接取消了开关域名的退出机制，无论开关域名是否可以访问，都会执行后续恶 b u 意操作。 h t i g © 2017 绿盟科技 -3- WannaCry 变种样本初步分析报告 m o c . 5 b u h t i g 图 2.3 变种 2 样本与初代样本 16 进制文件跳转更改部分对比结果 © 2017 绿盟科技 -4- WannaCry 变种样本初步分析报告 m o c . 5 图 2.4 变种样本 2 和初代样本汇编指令对比结果从变种 2 样本与原样本 16 进制文件域名更改部分对比结果（即第二处不同）可以看出， b u 其域名地址部分已全部置零，同时汇编代码中也说明其域名指针所指向地址的数据已全部置为零，因此已不存在域名开关。 h t i g © 2017 绿盟科技 -5- WannaCry 变种样本初步分析报告 m o c . 5 b u h t i g 图 2.5 变种 2 样本与原样本 16 进制文件域名更改部分对比结果通过后续的分析，其第三处不同数据位于变种样本的资源段内，在创建 C:/ WINDOWS/ tasksche.exe 文件时解密资源段进行使用。 © 2017 绿盟科技 -6- WannaCry 变种样本初步分析报告变种 2 样本对网络中的计算机进行扫描，如果发现存在使用 SMB 协议，开放 445 端口并且未打补丁的计算机或者存在 DOUBLEPLUSAR 后门的计算机，能够对其进行攻击；同时创建服务项创建服务名为 mssecsvc2.0 的服务，服务路径及参数为：变种 2 样本路径/变种 2 样本名 -m security。变种 2 样本生成的文件 taskshe.exe 文件，在测试环境下不能正常运行，具体原因有待进一步分析，因此也就无勒索软件的加密行为以及其他的自启动项设置行为。 m o c . 5 b u 图 2.6 写入 tasksche.exe 部分的资源文件 h t i g 图 2.7 变种 2 样本进程树（tasksche.exe 持续时间极短，也说明其可能执行异常）三. 影响范围针对变种 1，其连接域名已被安全组织接管，暂时不会进一步扩大感染及造成危害。针对变种 2，对于未安装 MS17-010 补丁的用户以及包含 DOUBLEPLUSAR 后门的用户仍然具有威胁。四. 防护措施针对上述分析的两种变种，绿盟科技目前已使用的防护措施依然有效，具体包含以下三点： © 2017 绿盟科技 -7- WannaCry 变种样本初步分析报告 ①针对变种，我们的设备仍然能够防护 ②加固策略依然有效 ③工程方面所提供的加固脚本工具，也仍然有效五. 附录 m o c . 5 其他参考资料： https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e b u h t i g © 2017 绿盟科技 -8-