01
背景
近期,我公司一家大型制造行业用户突发了信息安全事件,接到威胁响应需求后,端御科技RTShieldTeam立即启动威胁响应服务,第一时间赴现场排查异常和诊断问题,从内部网络出现大量网络请求、负载均衡超出最大响应并导致网络中断及部分电脑蓝屏等现象,我们首先推断蠕虫病毒或僵尸网络病毒的可能性。通过防火墙流量进一步查看,选定一台异常主机进行剖析,最终确定为WannaCry勒索变种,也就是我们本次专题需要分析的主角。
02
病毒主要行为分析
WannaCry病毒会依赖于WindowsMS17-漏洞在windows局域网或广域网内传播,被感染的宿主会发送大量的smb请求包(协议目标端口)进行探测、感染和传播,同时会在被感染主机上寻找有价值的数据文件进行加密,对主机使用者进行勒索。
?mssecsvc.exe病毒2.0母体,也是病毒实施感染的主程序。
?病毒母体扫描局域网与广域网,并通过MS17-漏洞进行感染传播。
?mssecsvc.exe释放tasksche.exe程序,tasksche.exe敲诈加密主程序,现有版本运行会出错,所以不会进行加密文件进行敲诈勒索。
?mssecsvc.exe病毒会通过MS17-(永恒之蓝漏洞)进行传播时,在漏洞利用失败的情况下会导致目标主机蓝屏。
?mssecsvr.exe是病毒2.1母体,该程序行为与mssecsvc.exe行为一致,只是释放的tasksche.exe程序有所区别。
?mssecsvr.exe释放的tasksche.exe是个自解压程序,程序在解压时产生错误。
03
病毒主要行为详细逆向分析
mssecsvc.exe病毒母体
病毒两个服版本服务信息
