0x1 前言
360互聯網安全中心近日發現全球多個國家和地區的機構及個人電腦遭受到了一款新型勒索軟件攻擊，并于5月12日國內率先發布緊急預警，外媒和多家安全公司將該病毒命名為“WanaCrypt0r”（直譯：“想哭勒索蠕蟲”），常規的勒索病毒是一種趨利明顯的惡意程序，它會使用加密算法加密受害者電腦內的重要文件，向受害者勒索贖金，除非受害者交出勒索贖金，否則加密文件無法被恢復，而新的“想哭勒索蠕蟲”尤其致命，它利用了竊取自美國國家安全局的黑客工具EternalBlue（直譯：“永恒之藍”）實現了全球范圍內的快速傳播，在短時間內造成了巨大損失。360追日團隊對“想哭勒索蠕蟲”國內首家進行了完全的技術分析，幫助大家深入了解此次攻擊！
0x2 抽樣分析樣本信息
MD5: DB349B97C37D22F5EA1D1841E3C89EB4
文件大小: 3,723,264
影響面：除Windows 10外，所有未打MS-17-010補丁的Windows系統都可能被攻擊
功能:   釋放加密程序，使用RSA+AES加密算法對電腦文件進行加密勒索，通過MS17-010漏洞實現自身的快速感染和擴散。 
0x03 蠕蟲的攻擊流程
該蠕蟲病毒使用了ms17-010漏洞進行了傳播，一旦某臺電腦中招，相鄰的存在漏洞的網絡主機都會被其主動攻擊，整個網絡都可能被感染該蠕蟲病毒，受害感染主機數量最終將呈幾何級的增長。其完整攻擊流程如下

0x04 蠕蟲啟動邏輯分析
1.蠕蟲啟動時將連接固定url: http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 
a)如果連接成功,則退出程序
b)連接失敗則繼續攻擊
2.接下來蠕蟲開始判斷參數個數,小于2時,進入安裝流程;大于等于2時,進入服務流程.
a)安裝流程
i.創建服務,服務名稱: mssecsvc2.0
參數為當前程序路徑 –m security
ii.釋放并啟動exe程序
移動當前 C:\WINDOWS\tasksche.exe到 C:\WINDOWS\qeriuwjhrf
釋放自身的1831資源(MD5: 84C82835A5D21BBCF75A61706D8AB549),到C:\WINDOWS\tasksche.exe,并以 /i參數啟動
b)服務流程
i.服務函數中執行感染功能,執行完畢后等待24小時退出.
ii.感染功能
初始化網絡和加密庫,初始化payload dll內存.
a)Payload包含2個版本,x86和x64

b)功能為釋放資源到c:\windows\mssecsvc.exe并執行
啟動線程,在循環中向局域網的隨機ip發送SMB漏洞利用代碼


0x05 蠕蟲利用漏洞確認
通過對其中的發送的SMB包進行分析，我們發現其使用漏洞攻擊代碼和https://github.com/rapid7/metasploit-framework 近乎一致，為Eternalblue工具使用的攻擊包。

蠕蟲 SMB數據包:

Eternalblue工具使用的MS17-010 SMB數據包:

https://github.com/RiskSense-Ops/MS17-010/tree/master/exploits/eternalblue/orig_shellcode 
文件內容在DB349B97C37D22F5EA1D1841E3C89EB4中出現
orig_shellcode文件內容: 

DB349B97C37D22F5EA1D1841E3C89EB4 文件:

0x06 蠕蟲釋放文件分析
蠕蟲成功啟動后將開始釋放文件，流程如下：

釋放文件與功能列表，如下：

0x07 關鍵勒索加密過程分析
蠕蟲會釋放一個加密模塊到內存，直接在內存加載該DLL。DLL導出一個函數TaskStart用于啟動整個加密的流程。程序動態獲取了文件系統和加密相關的API函數，以此來躲避靜態查殺。

整個加密過程采用RSA+AES的方式完成，其中RSA加密過程使用了微軟的CryptAPI，AES代碼靜態編譯到dll。加密流程如下圖所示。

使用的密鑰概述：

目前加密的文件后綴名列表：

值得注意的是，在加密過程中，程序會隨機選取一部分文件使用內置的RSA公鑰來進行加密，這里的目的是解密程序提供的免費解密部分文件功能。

能免費解密的文件路徑在文件f.wnry中

0x08 蠕蟲贖金解密過程分析
首先，解密程序通過釋放的taskhsvc.exe向服務器查詢付款信息，若用戶已經支付過，則將eky文件發送給作者，作者解密后獲得dky文件，這就是解密之后的Key
解密流程與加密流程相反，解密程序將從服務器獲取的dky文件中導入Key


可以看到，當不存在dky文件名的時候，使用的是內置的Key，此時是用來解密免費解密的文件使用的。


之后解密程序從文件頭讀取加密的數據，使用導入的Key調用函數CryptDecrypt解密，解密出的數據作為AES的Key再次解密得到原文件。

總結
該蠕蟲在勒索類病毒中全球首例使用了遠程高危漏洞進行自我傳播復制，危害不小于沖擊波和震蕩波蠕蟲，并且該敲詐者在文件加密方面的編程較為規范，流程符合密碼學標準，因此在作者不公開私鑰的情況下，很難通過其他手段對勒索文件進行解密，同時微軟已對停止安全更新的xp和2003操作系統緊急發布了漏洞補丁，請大家通過更新MS17-010漏洞補丁來及時防御蠕蟲攻擊。