【安全报告】WannaCry勒索软件溯源分析报告

从5月12日开始,WannaCry勒索软件在世界范围内迅速传播,造成了极大的影响,安全行业的各个公司都对此次事件开展了分析和防护工作,绿盟科技的技术人员也在第一时间对样本进行分析并出具了详细的分析报告。

综述

但我们不禁要问,WannaCry勒索软件是做的?攻击者是谁?他的目的是什么?这就需要用到达尔文探索物种起源的最基本方法,观察、找到、比对和分析。在上周六绿盟科技通过威胁情报监测,截获WannaCry2.0勒索病毒两个变种,经过对比分析,发现没有本质变化 绿盟科技的防护措施仍然有效。在随后的追踪过程中,我们发现2017年2月曾出现了与3月份相似度极高的样本Wcry,国外安全团队分析认为,2月份样本与2015年2月Lazarus APT组织的样本代码非常相似。

这个新发现,促使绿盟科技安全团队进行了进一步研究,本文就是对2月份Wcry样本与目前WannaCry样本的对比分析,从分析中可以得到一个结论,WannaCry才是Wcry的2.0版本。

WannaCry 2.0版本乌龙事件

5月12日爆发出的勒索软件WannaCry被技术人员分析出其中存在一个“域名开关(www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com)”,即如果蠕虫在运行后能够成功访问该域名,则程序会直接退出,加密行为也会被终止;反之则会继续进行传播与加密等恶意行为。由于该域名在样本是明文状态,可以被更改,这也是后续的“2.0版本”产生的原因。在5月13日,卡巴斯基对一家国外媒体表示“我们确定有一些样本是没有域名开关的”。

图为卡巴斯基发表的错误声明

虽然该消息随后便被删除并且卡巴斯基的技术人员也发表了消息澄清“并没有发现没有域名开关的样本”,但是该乌龙事件已经被大家误解并且传开,有些团队把WannaCry释放出来的文件以及持续出现的变种版本称为2.0版本。

图为卡巴斯基人员澄清消息

尽管2.0版本源于一个乌龙事件,但是经过更深入的分析了解后,绿盟科技的技术人员确实发现早在3月份就被发现并提交的一个Wcry勒索软件样本,与5月12日爆发的勒索软件属于同源。 3月份的Wcry样本是一个独立的勒索软件,该勒索软件与5月12日爆发的WannaCry样本感染主机后释放出来的勒索软件几乎完全相同。

针对WannaCry继续追踪,发现2017年2月曾出现了与3月份相似度极高的样本。

通过国外的安全团队分析发现2月份样本与2015年2月Lazarus APT组织的样本代码非常相似。

该组织曾经进行过索尼wiper攻击、孟加拉银行攻击以及DarkSeoul行动。

勒索软件分析

样本信息

勒索软件版本与名称 MD5 文件大小
1.0 Wcry b0ad5902366f860f85b892867e5b1e87 237,568 字节
2.0 WannaCry(u.wnry) 7bf2b57f2a205768755c07f238fb32cc 245,760字节

注:u.wnry为WannaCry释放出的tasksche.exe(勒索软件)文件运行后继而释放而来,详情可以参考绿盟科技发布的《WanaCry蠕虫样本分析报告》。

样本对比分析

如下图所示,可以看出,2款勒索软件的流程完全一致。

1.0 Wcry流程图                                                    2.0 WannaCry的u.wnry流程图

在加密流程方面,2款勒索软件也几乎一致,如下:

上图为 1.0 Wcry 的加密流程,下图为 2.0 WannaCry的u.wnry的加密流程:

略微不同的是,1.0 Wcry将需要调用的加密函数直接导入在导入表里,而2.0 WannaCry的u.wnry会将需要的函数存放在字符串中,然后动态获得存放在全局变量中。

1.0 Wcry导入列表                                                2.0 WannaCry的u.wnry字符串列表

在加密功能的函数被调用后,2个勒索软件的运行流程也几乎完全一样。

1.0 Wcry                                                                   2.0 WannaCry的u.wnry

另外,在样本中还出现了有关于版本的硬编码信息:

上图为Wcry样本中的信息

上图为WannaCry的u.wnry样本中的信息

从种种迹象中看来,3月份就爆出的Wcry算的上是该勒索软件的1.0版本,此时该软件仅仅作为单独的勒索软件存在,并不具备主动传播的能力。WannaCry在原有的勒索软件基础上,利用了微软SMB漏洞以及DOUBLEPULSAR后门,从而有了超强传播蔓延能力,可以算的上是真正的2.0版本了。

变种版本分析说明

由于“域名开关”在2.0 WannaCry样本中是作为明文存在的,这一特点为其变种版本的产生提供了极大的方便,网上流传的“2.0版本”除了是WannaCry释放出来的勒索软件本身(其实也就是1.0的Wcry勒索软件本身),还有一部分就是修改了“域名开关”后得来的变种版本了,详细信息可以参考绿盟科技发布的《WannaCry变种样本初步分析报告》。该分析报告中也说明了其实所为的“2.0版本”只是在原有的WannaCry版本上修改了“域名开关”以及跳转等更改而得来的变种版本,其实与WannaCry都属于Wcry的2.0版本。

总结

虽然目前网上大家所传的WannaCry 2.0版本是因为一起乌龙事件而起,这些版本只是WannaCry的一些变种版本或是WannaCry释放出的勒索软件本身。然而在经过分析之后,由于WannaCry所释放的勒索软件与3月份就存在的Wcry勒索软件几乎完全一致,我们完全可以将WannaCry称之为Wcry的2.0版本:除了勒索软件本身,WannaCry拥有了传播框架:微软的SMB服务漏洞(MS17-010)以及DOUBLEPULSAR后门,这使得原本不具有主动传播能力的Wcry勒索软件拥有了极强的传播能力,由此才被称之为2.0版本。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

发表评论