永恒之蓝的病毒样本分析
内容:
分析病毒结构,写出病毒如何利⽤漏洞进⾏攻击,详细剖析病毒的运⾏过程,使⽤了什么加密算法,调⽤了什么系统API。进阶:聊
中了该病毒,怎么恢复数据
样本分析
⾸先是看下病毒样本的哈希值
图⽚.png
查壳信息,win32程序⽆壳:
图⽚.png
载⼊IDA后,先查看字符串,看到有RSA和AES,猜测之后会使⽤这两种加密⽅式:
图⽚.png
高速铁路动车乘务⽤IDA的findcrypto插件,到了AES算法的特征:
图⽚.png
第⼀部分
之后开始对病毒样本进⾏详细分析,⾸先是程序⼊⼝点:
图⽚.png
⼀开始病毒获取它的运⾏绝对路径,⽤OD动态调试时可得:
图⽚.png
在函数 sub_401225中,会根据当前的计算机名随机⽣成⼀组字符串,后⾯会⽤到
三八妇女节必须放假吗图⽚.png
OD动调结果:
图⽚.png
如果参数有/i,就把病毒⾃⾝复制到之前随机字符串的⽂件夹中,名称为,之后去运⾏这个,但是我没⽤命令⾏去运⾏,所以直接就跳到下⼀步。之后将路径切换到了当前的⽂件夹下,在sub_4010FD⾥⾯会添加⼀条新的注册表项
图⽚.png
图⽚.png
但是在OD调试的时候发现在注册表中没有这⼀项,跟到函数⾥⾯,发现在执⾏完RegSetValueExA退出了,怀疑是权限问题导致注册表没能成功添加
我是隔壁的泰山图⽚.png
分析下在sub_401DAB⾥⾯进⾏的操作,主要对资源⽂件进⾏获取和释放到当前⽂件夹,⽤到了FindResourceA,LoadResource等对资源操作的函数,下图的Type是XIA,可以通过Resource Hacker来到程序释放的资源
图⽚.png
到名字叫做XIA的资源段,⾥⾯⼀看是PK头,意识到是⼀个zip压缩包,直接⽤foremost从程序中提取出zip压缩包,密码是压到栈⾥的参数WNcry@2ol7
图⽚.png
绩点怎么算演讲的方法与技巧配合OD,执⾏完释放资源的函数后,⽂件夹中的内容多了⼀堆,应该都是之后病毒要使⽤的⽂件,⼗六进制编辑器打开后发现有PE⽂件,压缩包,被加密的⽂件等
图⽚.png
之后执⾏两条命令
attrib +h .
icacls . /grant Everyone:F /T /C /Q
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论