針對WannaRen勒索軟件的梳理與分析
時間 : 2020年04月09日 來源: 安天CERT
1 概述
近日,安天CERT監測到國內多個論壇,貼吧等網站先后有受害者感染新型WannaRen勒索軟件並進行求助,其名稱與“WannaCry”相似,加密后會追加“.WannaRen”后綴名。
安天CERT捕獲了近期關注度較高的WannaRen勒索軟件樣本,對該威脅事件進行梳理與分析,目前監測到該勒索軟件通過KMS工具捆綁PowerShell腳本傳播,同時下載另一個PowerShell腳本作為載體,下載相關模塊文件,其中包括名為“you”的核心加密文件、“WINWORD.exe”白文件和“wwlib.dll”惡意DLL文件,使用白文件加載惡意DLL文件(俗稱白+黑技術)來躲避查殺。勒索信中內容為繁體字,並要求受害者支付贖金完成解密,贖金價格為0.05BTC(約2500元人民幣)。目前,被加密的文件在未得到密鑰前暫時無法解密。
前導PowerShell腳本除WannaRen核心模塊下載鏈接外,還存在其他多個鏈接,其中包括永恆之藍傳播模塊、挖礦模塊。通過安天監測分析,該勒索軟件沒有大規模傳播,沒有發現內網傳播案例。勒索信中的比特幣地址收到兩筆入賬,約為0.00009490比特幣。經驗證,安天智甲終端防御系統(簡稱IEP)可有效阻止WannaRen勒索軟件運行過程加密操作,針對勒索軟件實體有效防護。
2 該勒索軟件對應ATT&CK的映射圖譜
該勒索軟件技術特點分布圖:
圖 2-1該勒索軟件技術特點的ATT&CK的映射
3 WannaRen勒索軟件概覽
3.1 執行流程
攻擊者入侵計算機后,使用PowerShell腳本下載白文件、DLL文件和加密的代碼文件。攻擊者利用DLL劫持技術,將文件“WINWORD.exe”設置為服務並開機啟動,啟動后優先加載同目錄下的加密程序“wwlib.dll”。DLL文件加載了核心加密文件“you”,加密Windows系統中大部分文件類型,在C:\User\Public目錄下釋放名為“fm”的文件(內容為記錄加密時間),並在桌面釋放“團隊解密.jpg”、“想解密請看此文本.gif”、“想解密請看此文本.txt”、“@WannaRen@.exe”等文件。
圖 3-1 攻擊流程
3.2 信息概覽
通過對域名以及樣本的更新和創建時間發現,該勒索軟件是近期展開的攻擊活動。
表 3-1 WannaRen勒索軟件概覽
4 樣本分析
4.1 樣本標簽
表 4-1 WannaRen加密程序
| 惡意代碼名稱 |
Trojan/Win32.WannaRen |
| 原始文件名 |
wwlib.dll |
| MD5 |
9854723BF668C0303A966F2C282F72EA |
| 文件大小 |
5.92 MB (6,209,536 字節) |
| 文件格式 |
BinExecute/Microsoft.DLL[:X86] |
| 時間戳 |
2020-04-29 09:27:50(偽造) |
| 數字簽名 |
無 |
| 加殼類型 |
VMProtect v3.00 - 3.1.2 |
| VT首次上傳時間 |
2020-04-08 00:41:33 |
| VT檢測結果 |
22 / 71 |
表 4-2 WannaRen解密程序
| 惡意代碼名稱 |
Trojan/Win32.WannaRen |
| 原始文件名 |
@WannaRen@.exe |
| MD5 |
1DE73F49DB23CF5CC6E06F47767F7FDA |
| 文件大小 |
6.96 MB (7,299,072 字節) |
| 文件格式 |
BinExecute/Microsoft.EXE[:X86] |
| 時間戳 |
2020-03-31 17:14:53 |
| 數字簽名 |
無 |
| 加殼類型 |
VMProtect v3.00 - 3.1.2 |
| VT首次上傳時間 |
2020-04-05 15:35:41 |
| VT檢測結果 |
53 / 72 |
4.2 WannaRen加密程序的運行流程
PowerShell腳本將WINWORD.exe和wwlib.dll文件下載到指定目錄下,采用白文件加載黑DLL文件方式,利用WINWORD.exe的運行機制,優先加載同目錄下的惡意wwlib.dll文件。
圖 4-1 兩個文件在同一個目錄
勒索軟件核心文件wwlib.dll與正常的wwlib.dll對比,正常的文件帶數字簽名,且兩個文件大小差異較大。
圖 4-2 文件對比
wwlib.dll文件加載后將WINWORD.exe添加為服務。
圖 4-3 添加服務
服務啟動后,DLL文件讀取C\User\Public路徑下文件名為you的加密數據,讀取后進行加密文件操作。
圖 4-4 加密的惡意模塊
通過對“you”文件在內存中解密后,發現有如下字符串信息、RSA公鑰信息和文件時間戳。
圖 4-5勒索模塊的字符串
圖 4-6 勒索軟件RSA公鑰
圖 4-7 文件頭信息
樣本運行后在本機釋放多個文件,其中包括fm文件(記錄攻擊時間)、團隊解密.jpg(攻擊者證明其擁有一個解密團隊,實則為取自網絡的境外某部隊培訓圖片)、勒索信、@WannaRen@.exe(解密程序)。
表 4-3 樣本釋放標簽
加密后的文件有如下特點,以“WannaRenkey”字符串開頭,“WannaRen2”字符串進行結尾。
圖 4-8加密后文件特點
4.3 WannaRen解密程序測試
之前網絡大量傳播的勒索樣本,實則為攻擊者聲稱的解密程序。該程序運行后彈窗,如下圖所示:
圖 4-9 彈窗顯示
通過測試發現,該解密程序從同一目錄下的勒索信中讀取KEY到解密程序中。
圖 4-10 讀取勒索信中的KEY
輸入任意密碼均可彈出“解密完成”對話框,但實則並沒有解密。應為解密程序的BUG,或者是根本沒有解密的途徑。
圖 4-11 彈出解密成功對話框
4.4 比特幣交易記錄
勒索信中的比特幣地址為:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM,截至本報告發布時,該比特幣錢包顯示兩筆入賬記錄
圖 4-12 比特幣交易記錄
4.5 關聯分析
安天CERT通過關聯發現可疑腳本,該PowerShell腳本功能為下載WannaRen勒索軟件,經分析該腳本為本次攻擊事件的前導文件。
圖 4-13 vip.txt腳本內容
目前該腳本除了存在WannaRen核心模塊外,還存在其他多個鏈接,多個文件功能如下表所示,其中包括永恆之藍傳播模塊,攻擊者可以自由選擇下載,目前安天並未監控到存在內網大規模傳播現象。
表 4-4 下載的功能模塊
| 目前鏈接的部分樣本MD5 |
功能 |
|
124D75D7214A16635828982C6C24B8D2 |
永恆之藍模塊 |
|
39E5B7E7A52C4F6F86F086298950C6B8 |
挖礦木馬 |
|
9F09350FE69026571A9869E352E2C2BC |
后門 |
|
CA8AB64CDA1205F0993A84BC76AD894A |
挖礦木馬 |
經過關聯發現該PowerShell腳本是從域名cs.sslsngyl90.com下載,該域名會重定向至如下鏈接:cpu.sslsngyl90.com/vip.txt
圖 4-14域名重定向
經安天威脅情報綜合分析平台關聯分析域名sslsngyl90.com,發現該域名與匿影組織存在關聯,此前該組織一直進行挖礦攻擊,近期較為活躍。
圖 4-15安天威脅情報綜合分析平台關聯分析
目前,該鏈接中的腳本刪除了勒索軟件模塊,只保留了挖礦模塊,故現在沒有大規模傳播。
圖 4-16腳本刪除勒索功能
4.6 傳播分析
安天監測到該樣本通過KMS工具捆綁PowerShell腳本傳播,首先攻擊者將偽裝成激活工具KMS的下載器上傳到某網站。
圖 4-17 網站截圖
該下載器運行后,下載偽裝成激活工具KMS的壓縮包。
圖 4-18 偽裝激活工具KMS的壓縮包
解壓后,是一個偽裝成激活工具KMS的程序,其中嵌入PowerShell代碼,
圖 4-19 嵌入的PowerShell代碼
解碼后的PowerShell代碼如下,具體功能為延遲2000秒,檢查系統中是否存在360安全防護或QQ防護,存在則退出PowerShell進程,若不存在則創建下載勒索軟件的PowerShell腳本的任務計划。
圖 4-20 解碼后的PowerShell
將上圖中加密后的代碼解碼,得到以下命令,其功能為下載並執行上一節提到的前導文件。
圖 4-21 下載命令
5 最新情況
4月9號,WannaRen作者已經釋放該勒索軟件解密密鑰,安天CERT第一時間進行測試驗證確認該密鑰有效。安天全國服務熱線:400-840-9234
WannaRen勒索軟件解密密鑰:
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
6 防護建議
安天提醒廣大用戶,提高網絡安全意識,及時進行系統更新和漏洞修復,避免下載非正版的應用軟件、非官方游戲及注冊機等;安裝具有主動防御能力的終端防護軟件(如安天智甲)以對勒索軟件提供有效防護;及時備份重要文件,文件備份應與主機隔離;盡量避免打開社交媒體分享的不明來源鏈接,將信任網站添加書簽並通過書簽訪問;避免使用弱口令或統一的口令;接收郵件時要確認發送來源是否可靠,避免打開可疑郵件中的網址和附件,避免輕易下載來源不明的附件。
目前,安天智甲終端防御系統可實現對以上惡意軟件的查殺與有效防護。
圖 5-1安天智甲有效防護
7 IoCs
| IoCs |
| F96EB8A988E3739570CA8DBB55026965 |
| 9854723BF668C0303A966F2C282F72EA |
| 2D84337218E87A7E99245BD8B53D6EAB |
| 6355D278E4B9CAEC1F9774DB5D2C54AA |
| 06F61B51FD1B4834AA2C72A0C2E3573E |
| 90D3BC2AB0B39A17A29462F3372CA786 |
| 1DE73F49DB23CF5CC6E06F47767F7FDA |
| 235CCA78C8765FCB5CF70A77B1AE9D02 |
| 46A9F6E33810AD41615B40C26350EED8 |
| F96EB8A988E3739570CA8DBB55026965 |
| 124D75D7214A16635828982C6C24B8D2 |
| 1976D15199E5F0A8FB6C885DF9129F56 |
| 39E5B7E7A52C4F6F86F086298950C6B8 |
| 9F09350FE69026571A9869E352E2C2BC |
| CA8AB64CDA1205F0993A84BC76AD894A |
| 84DB24EF0BF045D100C200D608204600 |
| DAA1DC4AA5D91EF3FA200B589049007A |
| img.vim-cn.com |
| sslsngyl90.com |