不久之前,采用NSA泄露的网络武器库中“永恒之蓝(EternalBlue)”漏洞传播的WannaCry勒索软件在互联网中出现,主动扫描结合远程漏洞利用的蠕虫特性使其在各大专网、局域网中迅速传播,造成巨大影响。中国科学院软件研究所协同创新团队第一时间利用团队自主研发的“金刚恶意软件智能分析系统”对样本进行了自动化分析,并发布了相关分析报告。
该报告系统、直观地展现了WannaCry勒索软件的攻击过程,提供了释放的中间文件、发起的网络连接等关键信息,对快速、准确掌握恶意软件实现机理,确定应对机制具有重要帮助。分析过程及报告生成全程自动完成,分析过程高效,是恶意软件快速响应的重要技术支撑。为了帮助大家能够更好地了解WannaCry勒索软件的攻击行为,我们结合可视化技术对该勒索软件的分析报告进行解读。
5月13日,“金刚恶意软件智能分析系统”分析了第一个WannaCry勒索软件相关样本,完整的分析报告详见这里。从该分析报告中的运行过程截图可以看出,样本执行初期没有任何引人注意的表现,但随后分析主机的桌面被替换、前台弹出提示信息,此时一切都为时已晚,用户的各种文件已经被加密。
而我们从报告的行为列表及动态行为逻辑关系图中可以看到,样本释放了大量可执行程序以及bat、vbs等恶意脚本,并借助这些程序、脚本和Windows自带的系统工具共同完成攻击目的。在前述的准备工作完成后,样本开始执行最重要的攻击任务——文件加密。在行为列表中可以看到大量与文件操作相关的行为,包括修改文件属性、读写文件、修改文件创建时间、文件重命名等。
这些正是WannaCry对用户文件进行加密的详细过程。进一步观察样本的详细行为数据可以发现,攻击程序针对每个文件生成了一个扩展名为WNCRYT的临时文件,在加密完成并设置好文件创建时间后,会将该临时文件重命名为WNCRY文件。勒索软件加密的文件类型非常广泛,主要包括doc、xls、jpg等各种文档和图片,具体这些被加密后的文件长什么样呢?
通过下载查看分析报告里的“中间文件”可以看到,被加密后文件头部均变成了“WANACRY!”标识。除了以上主机破坏行为以外,样本运行过程中还能观测到大量的网络行为,扫描大量随机生成的IP地址。实际上,上述分析报告中的样本只是WannaCry的核心攻击模块(即下面分析报告中的tasksche.exe),为了更好地了解该勒索软件的攻击过程,我们对WannaCry的完整样本进行了分析。
首先,我们在联网环境下利用“金刚恶意软件智能分析系统”对WannaCry勒索软件进行分析,完整的分析报告详见这里。如图所示,从分析报告的运行过程截图可以看出,样本感染分析主机后,分析主机没有出现任何可以察觉的变化。从样本动态行为关系图中,样本只有一个访问网络的行为及少量注册表、文件操作行为外,没有明显的异常行为。
从捕获的分析主机网络流量中也可以看到,样本除了对www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这一特殊域名的DNS请求和HTTP访问之外,没有任何扫描和攻击活动。随后,我们在断网环境下利用“金刚恶意软件智能分析系统”再次对WannaCry勒索软件进行分析,完整的分析报告详见这里。
从分析报告可以看出,该样本展现了跟前述核心模块分析报告中类似的数据加密行为和扫描传播行为,报告中的样本动态行为逻辑关系图可以完整地展现该样本在分析主机中的整个攻击过程,以及所有的数据加密操作和扫描传播行为。
从捕获的分析主机网络流量中也可以看到,样本对www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这一特殊域名的DNS请求,由于分析主机处于断网状态,该请求没有获得应答。样本在持续发送了若干次对该域名的DNS解析请求后,开始出现对随机产生的IP地址445端口的扫描攻击。
从上述联网环境和断网环境下的样本分析结果可以看出,WannaCry勒索软件在感染主机后是否执行数据加密操作等攻击破坏行为,与勒索软件是否能够成功访问www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这一特殊站点有密切关系。
也就是说,www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com是一个控制该勒索软件破坏和传播过程的秘密开关,这与从代码层面进行分析获得的其他分析报告结果是一致的。然而,值得注意的是,WannaCry勒索软件只有在能够访问该开关站点的情况下才不进行攻击破坏,这与以往类似的恶意软件秘密开关的逻辑是相反的!
此外,从上述WannaCry勒索软件完整样本与核心模块分析报告的对比可以发现,该勒索软件完整样本与核心模块之间的差异主要体现在对www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这个隐藏的开关域名的访问这一行为上。
也就是说,攻击者完全可以利用其他远程攻击漏洞,以及电子邮件、即时通讯、网站漏洞等方式传播该核心攻击模块,给系统打上补丁、禁用网络共享、阻断445端口访问等措施可以抵御“永恒之蓝(EternalBlue)”漏洞攻击,但防范WannaCry等类似恶意软件,仍然任重道远!