從5月13日開始在全球蔓延的勒索病毒近日出現(xiàn)了新的變種。騰訊安全反病毒實(shí)驗(yàn)室5月16日表示,他們觀測(cè)發(fā)現(xiàn)部分勒索病毒樣本已經(jīng)從“想哭WannaCry”變成了“想妹妹(WannaSister)”。
席卷全球的WannaCry勒索病毒,已經(jīng)擴(kuò)散至100多個(gè)國家和地區(qū),包括醫(yī)院、教育機(jī)構(gòu)、政府部門在內(nèi)的多類機(jī)構(gòu)遭到攻擊。勒索病毒結(jié)合蠕蟲的方式進(jìn)行傳播,是此次攻擊事件大規(guī)模爆發(fā)的重要原因。截至5月15日,已經(jīng)有近4萬美元的贖金被支付,與全球中毒用戶規(guī)模來看,這僅僅是非常小的一個(gè)支付比例。
騰訊反病毒實(shí)驗(yàn)室初步判斷,WannaCry病毒在爆發(fā)之前已經(jīng)存在于互聯(lián)網(wǎng)中,并且病毒目前仍然在進(jìn)行變種。在監(jiān)控到的樣本中,發(fā)現(xiàn)疑似黑客的開發(fā)路徑,有的樣本名稱已經(jīng)變?yōu)?ldquo;WannaSister.exe”,從“想哭(WannaCry)”變成“想妹妹(WannaSister)”。
騰訊安全反病毒實(shí)驗(yàn)室96小時(shí)勒索病毒監(jiān)控圖。
騰訊安全反病毒實(shí)驗(yàn)室表示,盡管此次WannaCry勒索病毒影響席卷全球,短期內(nèi)被瞬間引爆,但實(shí)際破壞性還不算大,希望大家理性了解并面對(duì),并不希望放大恐慌。此次我們認(rèn)為這次勒索病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結(jié)合。針對(duì)勒索病毒已經(jīng)找到了有效的防御方法,而且周一開始病毒傳播已在減弱,用戶只要掌握正確的方法就可以避免,廣大網(wǎng)友不必太驚慌,也呼吁行業(yè)理性應(yīng)對(duì)。
附騰訊安全反病毒實(shí)驗(yàn)室發(fā)布的報(bào)告只要
WannaCry勒索病毒時(shí)間軸
傳播方式
根據(jù)目前我們掌握的信息,病毒在12日大規(guī)模爆發(fā)之前,很有可能就已經(jīng)通過掛馬的方式在網(wǎng)絡(luò)中進(jìn)行傳播。在一個(gè)來自巴西被掛馬的網(wǎng)站上可以下載到一個(gè)混淆的html文件,html會(huì)去下載一個(gè)前綴為task的exe文件,而諸多信息表明,此文件很有可能與12號(hào)爆發(fā)的WannaCry勒索病毒有著緊密關(guān)系。
根據(jù)騰訊反病毒實(shí)驗(yàn)室威脅情報(bào)數(shù)據(jù)庫中查詢得知,此文件第一次出現(xiàn)的時(shí)間是2017年5月9號(hào)。WannaCry的傳播方式,最早很可能是通過掛馬的方式進(jìn)行傳播。12號(hào)爆發(fā)的原因,正是因?yàn)楹诳透鼡Q了傳播的武器庫,挑選了泄露的MS17-010漏洞,才造成這次大規(guī)模的爆發(fā)。當(dāng)有其他更具殺傷力的武器時(shí),黑客也一定會(huì)第一時(shí)間利用。
對(duì)抗手段
當(dāng)傳播方式鳥槍換大炮后,黑客也在炮彈上開始下功夫。在騰訊反病毒實(shí)驗(yàn)室已獲取的樣本中找到一個(gè)名為WannaSister的樣本,而這個(gè)樣本應(yīng)該是病毒作者持續(xù)更新,用來逃避殺毒軟件查殺的對(duì)抗手段。
此樣本首次出現(xiàn)在13號(hào),這說明自從病毒爆發(fā)后,作者也在持續(xù)更新,正在想辦法讓大家從“WannaCry想哭”更新到“WannaSister想妹妹”。就目前掌握的信息,自12號(hào)病毒爆發(fā)以后,病毒樣本出現(xiàn)了至少4種方式來對(duì)抗安全軟件的查殺,這也再次印證了WannaCry還在一直演化。
加殼
在分析的過程中,我們發(fā)現(xiàn)已經(jīng)有樣本在原有病毒的基礎(chǔ)上進(jìn)行了加殼的處理,以此來對(duì)抗靜態(tài)引擎的查殺,而這個(gè)樣本最早出現(xiàn)在12號(hào)的半夜11點(diǎn)左右,可見病毒作者在12號(hào)病毒爆發(fā)后的當(dāng)天,就已經(jīng)開始著手進(jìn)行免殺對(duì)抗。下圖為殼的信息。
通過加殼后,分析人員無法直接看到有效的字符串信息,這種方式可以對(duì)抗殺毒軟件靜態(tài)字符串查殺。
通過使用分析軟件OD脫殼后,就可以看到WannaCry的關(guān)鍵字符串。包括c.wnry加密后的文件,wncry@2ol7解密壓縮包的密碼,及作者的3個(gè)比特幣地址等。
病毒作者并非只使用了一款加殼工具對(duì)病毒進(jìn)行加密,在其他樣本中,也發(fā)現(xiàn)作者使用了安全行業(yè)公認(rèn)的強(qiáng)殼VMP進(jìn)行加密,而這種加密方式,使被加密過的樣本更加難以分析。
我們通過驗(yàn)證使用VMP加密過的樣本,發(fā)現(xiàn)非常多的殺毒廠商已無法識(shí)別。
偽裝
在收集到的樣本中,有一類樣本在代碼中加入了許多正常字符串信息,在字符串信息中添加了許多圖片鏈接,并且把WannaCry病毒加密后,放在了自己的資源文件下。這樣即可以混淆病毒分析人員造成誤導(dǎo),同時(shí)也可以躲避殺軟的查殺。下圖展示了文件中的正常圖片鏈接
當(dāng)我們打開圖片鏈接時(shí),可以看到一副正常的圖片。誤導(dǎo)用戶,讓用戶覺得沒有什么惡意事情發(fā)生。
但實(shí)際上病毒已經(jīng)開始運(yùn)行,會(huì)通過啟動(dòng)傀儡進(jìn)程notepad,進(jìn)一步掩飾自己的惡意行為。
隨后解密資源文件,并將資源文件寫入到notepad進(jìn)程中,這樣就借助傀儡進(jìn)程啟動(dòng)了惡意代碼。
偽造簽名
在分析14號(hào)的樣本中,我們發(fā)現(xiàn)病毒作者開始對(duì)病毒文件加數(shù)字簽名證書,用簽名證書的的方式來逃避殺毒軟件的查殺。但是簽名證書并不是有效的,這也能夠看出作者添加證書也許是臨時(shí)起意,并沒有事先準(zhǔn)備好。
我們發(fā)現(xiàn)病毒作者對(duì)同一病毒文件進(jìn)行了多次簽名,嘗試?yán)@過殺軟的方法。在騰訊反病毒實(shí)驗(yàn)室獲取的情報(bào)當(dāng)中,我們可以發(fā)現(xiàn)兩次簽名時(shí)間僅間隔9秒鐘,并且樣本的名字也只差1個(gè)字符。
反調(diào)試
病毒作者在更新的樣本中,也增加了反調(diào)試手法:
1通過人為制造SEH異常,改變程序的執(zhí)行流程
2注冊(cè)窗口Class結(jié)構(gòu)體,將函數(shù)執(zhí)行流程隱藏在函數(shù)回調(diào)中。
總結(jié)
這次勒索病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結(jié)合。針對(duì)勒索病毒已經(jīng)找到了有效的防御方法,而且周一開始病毒傳播已在減弱,用戶只要掌握正確的方法就可以避免,廣大網(wǎng)友不必太驚慌,關(guān)注騰訊反病毒實(shí)驗(yàn)室和騰訊電腦管家的研究和防御方案,也呼吁行業(yè)理性應(yīng)對(duì)。我們也會(huì)繼續(xù)追蹤病毒演變。騰訊反病毒實(shí)驗(yàn)室會(huì)密切關(guān)注事態(tài)的進(jìn)展,嚴(yán)陣以待,做好打持久戰(zhàn)的準(zhǔn)備,堅(jiān)決遏制勒索病毒蔓延趨勢(shì)。