WANNACRY病毒中的加密技術分析
WANNACRY病毒與永恒之藍
“永恒之藍”是指NSA泄露的危險漏洞“EternalBlue”�。 Eternalblue通過TCP端口445和139來利用SMBv1和NBT中的遠程代碼執行漏洞,惡意代碼會掃描開放445文件共享端口的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和服務器中植入勒索軟件���、遠程控制木馬���、虛擬貨幣挖礦機等惡意程序����。WannaCry病毒就是利用EternalBlue漏洞進行傳播,進行網絡端口掃描攻擊,目標機器被成功攻陷后會從攻擊機下載WannaCry病毒進行感染,并作為攻擊機再次掃描互聯網和局域網其他機器,形成蠕蟲感染,大范圍超快速擴散���。
WANNACRY病毒的實現過程
勒索病毒被漏洞遠程執行后,會從資源文件夾下釋放一個壓縮包,此壓縮包會在內存中通過密碼:WNcry@2ol7解密并釋放文件���。這些文件包含了后續彈出勒索框的exe,桌面背景圖片的bmp,包含各國語言的勒索字體,還有輔助攻擊的兩個exe文件�����。這些文件會釋放到了本地目錄,并設置為隱藏��。病毒加密使用AES加密文件,并使用非對稱加密算法RSA 2048加密隨機密鑰,每個文件使用一個隨機密鑰,理論上不可破解����。
分析WANNACRY病毒
木馬母體mssecsvc.exe
判斷開關
木馬在網絡上設置了一個開關,若本地計算機能夠成功訪問http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,退出進程,不再進行傳播感染�����。
2017年5月13日晚間,由英國研究員于無意間發現的WannaCry隱藏開關域名,遏制了病毒的進一步大規模擴散�。這僅僅阻止了病毒的傳播,已經被感染的電腦依然被攻擊,文件會被加密鎖死���。
蠕蟲行為
a) 通過創建服務啟動,每次開機都會自啟動���。b) 從木馬自身讀取MS17_010漏洞利用代碼c) 創建兩個線程,分別掃描內網和外網的IP,開始進程蠕蟲傳播感染d) 對公網隨機ip地址445端口進行掃描感染;對于局域網,則直接掃描當前計算機所在的網段進行感染�。e) 感染過程中,嘗試連接445端口���。如果連接成功,則對該地址嘗試進行漏洞攻擊感染���。f) 釋放敲詐者tasksche.exe���。
tasksche.exe
1) 解壓釋放大量敲詐者模塊及配置文件,解壓密碼為WNcry@2ol72) 首先關閉指定進程,避免某些重要文件因被占用而無法感染 遍歷磁盤文件,避開含有ProgramData,Intel,WINDOWS,Program Files,Program Files (x86),AppData,Local,Temp,Local Settings,Temp字符的目錄,同時避開感染病毒釋放出來的說明文檔,加密178種擴展名文件��。3) 完成所有文件加密后釋放說明文檔,彈出勒索界面,需支付價值數百美元不等的比特幣到指定的比特幣錢包地址,三個比特幣錢包地址硬編碼于程序中��。
解密程序
1) 病毒解密程序中內置了其中一個公鑰的配對私鑰,可以用于解密使用該公鑰加密的幾個文件,用于向用戶“證明”程序能夠解密文件,誘導用戶支付比特幣�。2) 解密:程序判斷本地是否存在“00000000.dky”文件,該文件為真實解密所需私鑰文件����。若存在,則通過解密測試文件來檢測密鑰文件是否正確�����。若正確,則解密�����。若錯誤或不存在,病毒將程判斷解壓后的Tor目錄下是否存在taskhsvc.exe���。若不存在,則生成該文件,并且調用CreateProcessA拉起該進程����。3) 該程序主要為tor匿名代理工具,該工具啟動后會監聽本地9050端口,病毒通過本地代理通信實現與服務器連接��。在點擊“Check Payment”按鈕后,由服務端判斷是否下發解密所需私鑰�。若私鑰下發,則會在本地生成解密所需要的dky文件����。4) 程序便可利用該dky文件進行解密���。不過,到目前為止,未曾有解密成功的案例���。
Wanacry加解密過程
文件加密
1) 文件是使用AES進行加密的�����。 2) 加密文件所使用的AES密鑰是隨機生成的,即每個文件所使用的密鑰都是不同的��。 3) AESKEY通過RSA加密后,保存在加密后文件的文件頭中�。4) 敲詐者會根據文件類型�、大小�����、路徑等來判斷文件對用戶的重要性,進而選擇對重要文件的先行進行加密并擦寫原文件,對認為不太重要的文件,僅作刪除處理����。
文件刪除及擦寫邏輯
1) 對于桌面��、文檔����、所有人\桌面��、所有人\文檔四個文件夾下小于200M的文件,均進行加密后擦寫原文件�����。 2) 對于其他目錄下小于200M的文件,不會進行擦寫,而是直接刪除,或者移動到back目錄中���。 3) 移動到back后,的文件重命名為%d.WNCRYT,加密程序每30秒調用taskdl.exe對back目錄下的這些文件定時刪除��。 4) 對于大于200M的文件,在原文件的基礎上將文件頭部64KB移動到尾部,并生成加密文件頭,保存為“WNCRYT”文件���。而后,創建“WNCRY”文件,將文件頭寫入,進而按照原文件大小,對該“WNCRY”文件進行填充����。
問題:
1. 對稱密碼技術和公鑰密碼技術的作用���。三組公鑰密匙,作用分別是:1.一種用于加密隨機生成的AESKEY;2.一種用于加密文件,是可以給被入侵用戶展示的;3. 最后也是用于加密文件,支付比特幣后才能解碼的文件�。
AES對稱加密:用于加密文件���。
2.受害者支付贖金后是否會恢復文件?即使支付贖金,也很難保證能夠得到解密密匙���。WannaCry病毒的作者很難確定是哪臺電腦的所有者支付了贖金,給出相應的解密密匙來解密�����。
