安天针对勒索者蠕虫病毒Wannacry的深度分析报告

安天安全研究与应急处理中心(Antiy CERT)

 

 

报告初稿完成时间:2017年05月13日 05时38分
首次发布时间:2017年05月13日 06时00分
本版本更新时间:2017年05月14日 05时22分

PDF报告下载

1. 概述

安天安全研究与应急处理中心(AntiyCERT)发现,北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染。截止到5月13日23时,病毒影响范围进一步扩大,包括企业、医疗、电力、能源、银行、教育、交通等多个行业均遭受不同程序的影响。
据BBC报道,今天全球很多地方爆发一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校……
经过安天CERT紧急分析,判定该勒索软件是一个名称为“WannaCry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了此次全球性的大规模攻击事件。
安天CERT在2017年4月14日发布的《2016年网络安全威胁的回顾与展望》[1]中提到“网络军火”的扩散全面降低攻击者的攻击成本和勒索模式带动的蠕虫的回潮不可避免等观点。结果未满1个月,安天的这种“勒索软件+蠕虫”的传播方式预测即被不幸言中,并迅速进入全球性的感染模式。

安天依托对“勒索软件”的分析和预判,不仅能够有效检测防御目前“勒索软件”的样本和破坏机理,还对后续“勒索软件”可能使用的技巧进行了布防。安天智甲终端防御系统完全可以阻止此次勒索软件新家族“WannaCry”加密用户磁盘文件;安天探海威胁检测系统,可以在网络侧有效检测针对MS17-010漏洞的利用行为;安天态势感知系统,基于有效感知全局资产脆弱性和受损态势的基础上,能快速联动做出全网追溯、补丁加固、系统免疫等响应处置,有效缩短响应时间。

2. 事件分析

当系统被该勒索软件入侵后,弹出勒索对话框:

图 1 勒索界面

加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。

图 2 加密后的文件名


攻击者极其嚣张,号称“除攻击者外,就算老天爷来了也不能恢复这些文档” (该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件,“点击 <Decrypt> 按钮,就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示,“3天内付款正常,三天后翻倍,一周后不提供恢复”。)。现实情况非常悲观,勒索软件的加密强度大,没有密钥的情况下,暴力破解需要极高的运算量,基本不可能成功解密。。

图 3 可解密数个文件

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。

图 4  28种语言


该勒索软件会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。并衍生大量语言配置文件、具有加密功能的文件、窗体文件等。

样本HASH

功能描述

5BEF35496FCBDBE841C82F4D1AB8B7C2

DB349B97C37D22F5EA1D1841E3C89EB4

F107A717F76F4F910AE9CB4DC5290594

主程序,带有域名开关,负责利用漏洞进行传播、释放WannaCry勒索软件执行。

7F7CCAA16FB15EB1C7399D422F8363E8

84C82835A5D21BBCF75A61706D8AB549

509C41EC97BB81B0567B059AA2F50FE8

86721E64FFBD69AA6944B9672BCABB6D

D6114BA5F10AD67A4131AB72531F02DA

F529F4556A5126BBA499C26D67892240

WannaCry勒索软件程序,释放Tor程序连接暗网、加密自动后缀名文件、弹出勒索窗体

3E218283B2094D52EDC2661A8B62D7E3 (有壳VMP

0CB40A8A51539E2C5727C3EC87AF8A56

7BF2B57F2A205768755C07F238FB32CC

3503DF16479880FDF484ACE875FF3588

B0AD5902366F860F85B892867E5B1E87

E372D07207B4DA75B3434584CD9F3450

FA44F2474BA1C807AD2AAE6F841B8B09

7BF2B57F2A205768755C07F238FB32CC

775A0631FB8229B2AA3D7621427085AD

勒索软件窗体文件,显示勒索敲诈内容、倒计时信息、比特币购买地址、攻击者比特币钱包等信息。

4FEF5E34143E646DBF9907C4374276F5

删除加密文件时产生的临时文件

8495400F199AC77853C53B5A3F278F3E

负责启动勒索软件窗体文件

安天CERT发现样本主程序首先连接一个网址“开关”,如果连接成功则退出自身,不触发任何恶意行为,只有连接失败才会进行后续的行为。目前该域名已经被英国安全人士注册且可以访问,因此被感染的主机只要能够成功访问这个网址,样本就不会触发后续的恶意行为,当然不排除之后可能会出现无“开关”的样本。

图 5主程序样本代码运行流程

图 6主程序样本代码逻辑

图 7网址已经被英国安全人士注册(sinkhole)

  • 主程序文件分析
  1. 主程序样本首先会创建一个mssecsvc2.0的服务项,随后启动该服务:


图 8 添加启动项

图: 1服务启动参数据 –m security

  1. 读取资源文件并释放至windows目录tasksche.exe,并创建进程运行tasksche.exe。


图 9创建进程执行tasksche.exe(wanacry勒索软件)

  1. 主程序样本通过服务启动后调用服务入口函数,随后循环生成IP地址创建线程进行网络传播。


图 10利用SMB漏洞传播自身

  1. WanaCry勒索程序分析
  2. WanaCry勒索程序内置ZIP加密的资源数据,样本运行时会使用“WNcry@2ol7”密码解密后释放到当前路径,这些数据为勒索文字提示、勒索背景桌面、勒索窗体语言配置、加密的DLL和key等文件。


图 11 资源解压密码“WNcry@2ol7”

  1. WanaCry勒索程序会释放Tor暗网程序运行,在暗网下运行勒索页面程序,从而使主机通过暗网与作者联系、访问作者的Payment页面、连接购买Bit币的网站。因此感染WanaCry勒索程序时会产生大量连接9001、9002、443等端口的连接,这些端口都是TOR(暗网)节点连接地址。


图 12 勒索程序开启的Tor暗网程序
在taskhsvc.exe程序中我们发现了169个TOR节点IP地址。

图 13部分TOR节点 IP地址

  1. 加密部分分析

样本加密的基本操作均在内部加载的DLL中完成,加密文件的算法是AES,而AES密钥被RSA加密,RSA为随机生成的密钥对,公钥在本地系统保存,私钥提交到攻击者服务器。下面是部分操作的详细过程:



图 14导入RSA固定密钥


导入固定的RSA私钥,生成新的RSA密钥对,公钥会保存在系统中,私钥提交到攻击者服务器


图 15 公、私钥情况


在对文件进行加密时,首先会生成新的AES密钥,使用前面RSA公钥将生成的AES密钥进行加密,保存到要加密文件的开头部分,在标识符之后“WANACRY!”,随后使用AES密钥对文件进行加密。下图为被加密后的某文件。


图 16 被加密的文件

每个被加密的文件均使用不同的AES密钥,若想对文件进行解密操作,需要先获取RSA私钥,将文件头部的AES密码进行解密操作,再使用AES密钥,对文件体进行解密操作。如果没有RSA私钥,则AES密码无法解密,文件也就无法解开。

加密如下后缀名的文件:

.doc .docx .xls .xlsx .ppt .pptx .pst .ost .msg .eml .vsd .vsdx .txt .csv .rtf .123 .wks .wk1 .pdf .dwg .onetoc2 .snt .jpeg .jpg .docb .docm .dot .dotm .dotx .xlsm .xlsb .xlw .xlt .xlm .xlc .xltx .xltm .pptm .pot .pps .ppsm .ppsx .ppam .potx .potm .edb .hwp .602 .sxi .sti .sldx .sldm .sldm .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .backup .iso .vcd .bmp .png .gif .raw .cgm .tif .tiff .nef .psd .ai .svg .djvu .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .sh .class .jar .java .rb .asp .php .jsp .brd .sch .dch .dip .pl .vb .vbs .ps1 .bat .cmd .js .asm .h .pas .cpp .c .cs .suo .sln .ldf .mdf .ibd .myi .myd .frm .odb .dbf .db .mdb .accdb .sql .sqlitedb .sqlite3 .asc .lay6 .lay .mml .sxm .otg .odg .uop .std .sxd .otp .odp .wb2 .slk .dif .stc .sxc .ots .ods .3dm .max .3ds .uot .stw .sxw .ott .odt .pem .p12 .csr .crt .key .pfx .der

 

3.临时解决方案

目前,安天智甲终端防御系统,可以阻止此次勒索软件新家族“WannaCry”加密用户磁盘文件;安天探海威胁检测系统,可以在网络侧有效检测针对MS17-010漏洞的利用行为;安天AVL SDK AVL SDK可嵌入式反病毒引擎,可以有效检出相关恶意代码。对未部署安天相关产品的用户,我们建议采用如下临时解决方案:

  1. 在网络内,建立灭活域名iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

注1:对于隔离网用户,不建议直接连接互联网方式进行灭活。
注2:对于接入互联网的网络,切忌把iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com作为IOC用来阻断对该域名的请求。

  1. 在PC上,部署开启系统防火墙,利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务);或使用蠕虫勒索软件免疫工具(WannaCry)免疫。
  2. 在PC上,使用蠕虫勒索软件专杀工具(WannaCry)清除病毒。

详细方案和工具可参见:
2017年5月13日17:25发布的《安天应对勒索软件“WannaCry”防护手册》[2]
2017年5月13日17:45发布的《安天应对勒索者蠕虫病毒WannaCry FAQ》[3]
2017年5月13日19:03发布《蠕虫病毒WannaCry免疫工具和扫描工具》[4]
2017年5月14日4:49发布 《安天应对勒索者蠕虫病毒WannaCry FAQ-2》 [5]
2017年5月14日5:00发布 《安天应对勒索软件“WannaCry”开机指南》 [6]

4 安天的有效应对策略建议

安天CERT曾发布多篇勒索软件报告:
《揭开勒索软件的真面目》[7]
《"攻击WPS样本"实为敲诈者》[8]
《邮件发送js脚本传播敲诈者木马的分析报告》[9]
《首例具有中文提示的比特币勒索软件"LOCKY"》[10]
《多起利用POWERSHELL传播恶意代码的事件分析》[11]
《勒索软件简史》[12]
安天CERT曾在2004年绘制了当时的主流蠕虫与传播入口示意图,该图曾被多位研究者引用。可以肯定的是,尽管其中很多方式在DEP和ASLR等安全强化措施下已经失效,但存在问题的老版本系统依然存在。勒索模式带动的蠕虫回潮不可避免,同时利用现有僵尸网络分发,针对新兴IoT场景漏洞传播和制造危害等问题都会广泛出现。而从已经发生的事件来看,被敲诈者不仅包括最终用户,而且在大规模用户被绑架后,厂商也遭到敲诈。

图 8蠕虫时代的传播入口到勒索软件的传播入口

图 9需要警惕的勒索软件入口

勒索软件给国内政企网络安全也带来了新的挑战。在较长时间内,国内部分政企机构把安全的重心放在类似网站是否被篡改或DDoS等比较容易被感知和发现的安全事件上,但对网络内部的窃密威胁和资产侵害则往往不够重视,对恶意代码治理更投入不足。因为多数恶意代码感染事件难以被直观地发现,但“敲诈者”以端点为侵害目标,其威胁后果则粗暴可见。同时,对于类似威胁,仅仅依靠网络拦截是不够的,必须强化端点的最后一道防线,必须强调终端防御的有效回归。安天智甲终端防御系统研发团队依托团队对“敲诈者”的分析和预判,依托安天反病毒引擎和主动防御内核,完善了多点布防,包括文档访问的进程白名单、批量文件篡改行为监控、诱饵文件和快速文件锁定等。经过这些功能的强化,安天不仅能够有效检测防御目前“敲诈者”的样本,并能够分析其破坏机理,还对后续“敲诈者”可能使用的技巧进行了布防。同时,安天探海威胁检测系统,可对进入企业的勒索软件和漏洞利用行为进行威胁感知;安天追影威胁分析系统,针对勒索软件的防护,可采用回溯判定、分级防护的策略通过自动化判定勒索软件,并提供检出规则和特征分发到其他安全产品中。
此外,小结本次威胁的影响范围和应急处置经验教训,我们建议网络和IT环境复杂的大中型机构对后续的安全防护体系考虑如下优化:

  1. 当前专有终端防护能力相对不足,本次事件中有相当数量的专有终端受害,建议对ATM、各类闸机等专用终端,部署智甲专用终端防护版以增强防护能力;
  2. 本次事件中大量受害用户为隔离内网,进一步体现出“过于依赖网络边界防护和物理隔离的安全体系,反而可能内部网络安全疏漏较多、安全治理工作也任重道远”,建议重视内网安全能力提升,建设内网纵深防御体系(详见“第5章”);
  3. 在这次的应急工作中,我们每每感叹“缺乏有效的基于资产的安全管理、感知、和响应平台支撑时,在复杂网络的应急工作中应急人员往往有力使不出”。目前,很多用户正在规划或建设网络安全态势感知和监控预警平台,针对安全事件的汇聚、研判、以及呈现固然要重点考虑,但建议更应加强对“基于资产的安全分析、处置响应、处置进展监控”等能力的规划。
金钱夜未眠,在巨大的经济利益驱使下,未来勒索软件的传播途径和破坏方式也会变得愈加复杂和难以防范。作为安天智甲的开发者,我们期望帮助更多用户防患于未然。

5 完善内网纵深防御体系和能力势在必行

从NSA网路军火泄露ETERNALBLUE漏洞利用工具,到本次利用相关漏洞传播的勒索软件全球爆发,安天在本年度首次启动了A级风险预警到大规模安全风险应急。
这是自心脏出血、破壳和mirai之后,安天又一次启动A级风险应急,并为本次事件逐步从A级安全风险提升到大规模A级安全灾难。
在过去几年间,类似“红色代码”、“震荡波”、“冲击波”等大规模蠕虫感染带来的网络拥塞,系统大面积异常等事件日趋减少。而对基于PC节点的大规模僵尸网络的关注也开始不断下降,类似Mirai等IoT僵尸网络开始成为注意力的焦点。这使传统IT网络开始陷入一种假想的“平静”当中。由于Windows自身在DEP、ASLR等方面的改善, 使一击必杀的系统漏洞确实在日趋减少,主流的攻击面也开始向应用开始转移。在这种表面上的平静之中,以窃密、预制为目的的APT攻击,则由于其是高度隐秘的、难以为IT资产的管理者感知到的攻击,始终未能得到足够的重视。而黑产犯罪的长尾化,针对性的特点,也使其并不依赖极为庞大的受害人群分布,即可获得稳定的黑色收益。因此在过去几年,内网安全风险是围绕高度隐蔽性和定向性展开的,这种风险难以感知的特点,导致内网安全未得到有效的投入和重视。也为导致今天的大规模安全灾难形成了必然基础。勒索软件的一大特点,是其威胁后果是直接可见的。这种极为惨烈的损失,昭示了内网安全的欠账。也说明我们长期在简单的边界防护、物理隔离和内部的好人假定的基础上经营出安全图景,是一种“眼不见为净”式的自欺,无法通过攻击者的检验。
当前,我国在内网安全体系上的能力缺陷,一方面是安全产品未能得到全面部署和有效使用,另一方面则首先是其规划建设中没有落实“三同步”的原则,缺少基础的安全架构。安天、360等能力型安全厂商共同认同的滑动标尺模型,认为安全能力可以划分成架构安全、被动防御、积极防御、威胁情报等层次。各层次构成一个有机的整体,网络安全规划以基础的安全架构和可靠的被动防御手段为基础,叠加有效的积极防御和威胁情报手段。如果没有架构安全和被动防御的基础支撑,那么上层能力难以有效发挥;如果没有积极防御和威胁情报的有效引入,仅靠基础措施也无法有效的对抗深度的威胁。每个安全层次解决不同的问题,有不同的价值。相对更低的层次付出的成本更低,但解决的问题更基础广泛。从网络安全投入上看,越是网络初期越要打好底层的工作,而越是保障高等级的资产,就需要在积极防御和威胁层面做出投入延展。
习近平总书记在4.19网络安全与信息化工作座谈会上已经告诫我们“网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要树立动态、综合的防护理念并特别指出了 “物理隔离”防线可被跨网入侵”等若干值得关注的安全风险。要求我们全天候全方位感知网络安全态势。
在2月17日国家安全工作座谈会上,总书记又进一步强调要“实现全天候全方位感知和有效防护”。

防护的有效性最终要在与攻击者的对抗中检验,尽管这次事件带来的损失已经是非常惨痛的,但我们需要警醒的是,相对更为深度、隐蔽的针对关键信息基础设施的攻击,这种后果可见的大规模灾难依然是一种浅层次风险。有效完善纵深防御体系和能力势在必行。

 

 

附录一:参考资料

[1] 来源:《2016年网络安全威胁的回顾与展望》
http://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html
[2] 《安天应对勒索软件“WannaCry”防护手册》
http://www.antiy.com/response/Antiy_WannaCry_Protection_Manual/Antiy_WannaCry_Protection_Manual.html
[3] 《安天应对勒索者蠕虫病毒WannaCry FAQ》
http://www.antiy.com/response/Antiy_WannaCry_FAQ.html
[4] 蠕虫病毒WannaCry免疫工具和扫描工具下载地址:
http://www.antiy.com/tools.html
[5] 《安天应对勒索者蠕虫病毒WannaCry FAQ2》
http://www.antiy.com/response/Antiy_Wannacry_FAQ2.html
[6] 《安天应对勒索软件“WannaCry”开机指南》
http://www.antiy.com/response/Antiy_Wannacry_Guide.html
[7] 来源:揭开勒索软件的真面目
http://www.antiy.com/response/ransomware.html
[8] 《"攻击WPS样本"实为敲诈者》
http://www.antiy.com/response/CTB-Locker.html
[9] 来源:邮件发送js脚本传播敲诈者木马的分析报告
http://www.antiy.com/response/TeslaCrypt2.html
[10] 来源:首例具有中文提示的比特币勒索软件"LOCKY"
http://www.antiy.com/response/locky/locky.html
[11] 来源:勒索软件家族TeslaCrypt最新变种技术特点分析
http://www.antiy.com/response/TeslaCrypt%204/TeslaCrypt%204.html
[12] 《中国信息安全》杂志2017年第4期

 

附录二:关于安天


安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。

全球超过一百家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AVTEST年度奖项的中国产品。

安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。

安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。


关于安天反病毒引擎更多信息请访问:

http://www.antiy.com(中文)
http://www.antiy.net (英文)

关于安天反APT相关产品更多信息请访问:

http://www.antiy.cn


 

 

微信扫描关注 安天

文章分享二维码