ictf_2018_WannaCry-Dich.pdf

1. Ransomware
Phân tích tĩnh và động của WannaCry
II. LAI LỊCH
Từ khóa — Phân tích phần mềm độc hại, ransomware, WannaCry
Tóm tắt — Ngày nay, ransomware là một vấn đề lớn và đang phát triển
nhanh nhất đối với tất cả các loại người dùng từ hộ gia đình nhỏ đến
các tập đoàn lớn và các cơ quan chính phủ. Các gia đình ransomware
ngày nay thực hiện các kế hoạch mã hóa và lan truyền phức tạp, do đó
hạn chế cơ hội khôi phục dữ liệu gần như bằng không. Để thiết kế và
phát triển các cơ chế phát hiện và giảm thiểu phù hợp, điều quan trọng
là phải thực hiện phân tích ransomware và bồi thường các tính năng của
nó. Trong công việc này, chúng tôi trình bày kết quả phân tích phần
mềm tống tiền tập trung vào phần mềm tống tiền nổi tiếng WannaCry. Đặc
biệt, nghiên cứu được trình bày kiểm tra hành vi của WannaCry trong
quá trình thực thi nó trong môi trường phòng thí nghiệm ảo được xây
dựng có mục đích. Chúng tôi thực hiện phân tích tĩnh và động bằng
nhiều công cụ phân tích phần mềm độc hại.
Các kết quả thu được có thể được sử dụng để phát triển các cơ chế phát
hiện và giảm thiểu thích hợp đối với WannaCry hoặc các họ ransomware
khác có hành vi tương tự.
Hơn nữa, sự xuất hiện của các loại ransomware mới, chẳng hạn như
WannaCry, cho thấy ransomware không ngừng phát triển và bọn tội phạm
mạng đang nâng cấp mã ransomware với các tính năng phức tạp hơn, chẳng
hạn như các thành phần lan truyền sâu và cơ chế mã hóa khóa công khai.
Do đó, từ góc độ nghiên cứu, việc thiết kế các biện pháp đối phó mới
ngoài các phương pháp tiếp cận an ninh truyền thống được coi là nhiệm
vụ quan trọng và mang tính xu hướng trong lĩnh vực này. Tuy nhiên, các
thiết kế như vậy yêu cầu phân tích toàn diện về các tính năng và hành
vi của ransomware, thường liên quan đến một loạt các công cụ phân tích
phần mềm độc hại.
I. GIỚI THIỆU
Ransomware trình bày một loại phần mềm độc hại ngăn cản hoặc hạn
chế người dùng truy cập vào hệ thống của họ, bằng cách khóa màn hình
hoặc bằng cách mã hóa tệp, cho đến khi trả tiền chuộc [3]. Thông thường,
hai loại ransomware được phân biệt: tủ khóa và mã hóa [2]. Tủ khóa giới
thiệu một loại ransomware ít phức tạp hơn, chỉ đơn giản là khóa giao
diện người dùng của thiết bị, ngăn không cho đăng nhập và truy cập các
chương trình và dữ liệu. Trong hầu hết các trường hợp, nó để lại cho
người dùng rất ít khả năng như cho phép nạn nhân giao tiếp với kẻ tấn
công và trả tiền chuộc. Các tủ khóa thường có thể được gỡ bỏ sạch sẽ vì
chúng để nguyên hệ thống cơ bản và các tệp. Điều này làm cho các tủ
khóa kém hiệu quả hơn trong việc trích xuất các khoản thanh toán đã
chạy so với những người họ hàng phá hoại hơn của chúng - các loại tiền
mã hóa.
Phần mềm tống tiền WannaCry (còn được gọi là Wana Decrypt0r, WCry,
WannaCry, WannaCrypt và WanaCrypt0r) đã bị tấn công trong một cuộc tấn
công lớn trên nhiều quốc gia vào ngày 12 tháng 5 năm 2017 [5]. Theo
nhiều báo cáo từ
thiết kế và phát triển các cơ chế phát hiện và giảm thiểu ransomware
hiệu quả.
Khoa Khoa học Máy tính, Đại học York, York, Vương quốc Anh, Khoa Tin học & Viễn
thông, Đại học Peloponnese, Tripolis, Hy Lạp, Khoa Điện & Máy tính, Đại học Patras, Patras, Hy Lạp
A. Khái niệm cơ bản về Ransomware
Mật mã dựa vào mã hóa khóa công khai đặc biệt khó giảm thiểu, vì khóa
mã hóa được lưu trữ trong máy chủ điều khiển và chỉ huy từ xa (C&C).
Tiền mã hóa thường bao gồm giới hạn thời gian trả tiền chuộc và cung
cấp cho người dùng một trang web đặc biệt để mua tiền điện tử (ví dụ:
Bitcoin) và hướng dẫn từng bước về cách trả tiền chuộc. Vòng đời của
ransomware hiện đại thường bao gồm các bước sau [4]: phân phối, lây
nhiễm, truyền thông tin, tìm kiếm tệp, mã hóa tệp và yêu cầu tiền chuộc.
B. Kiến thức cơ bản về WannaCry
Trong công việc này, chúng tôi đã thực hiện một phân tích toàn diện
về phần mềm tống tiền nổi tiếng WannaCry. Chúng tôi trình bày cả kết
quả phân tích tĩnh và động. Các kỹ thuật được trình bày cũng có thể áp
dụng trong trường hợp các họ ransomware khác có các đặc điểm tương tự
như WannaCry, chẳng hạn như cơ chế lây lan sâu và mã hóa dựa trên khóa
công khai. Đặc biệt, nghiên cứu được trình bày kiểm tra hành vi của
WannaCry trong quá trình thực thi nó trong một môi trường phòng thí
nghiệm ảo được xây dựng có mục đích an toàn tại Đại học York. Kết quả
thu được có thể được sử dụng cho
Mặt khác, mật mã đại diện cho một loại ransomware nâng cao nhằm mục
đích mã hóa các tệp cụ thể của hệ thống trong hệ thống. Các nhà mật mã
sử dụng nhiều thuật toán mật mã khác nhau, bao gồm cả đối xứng và dựa
trên khóa công khai.
Hiện nay, mối đe dọa ransomware được coi là kế hoạch kiếm tiền
chính của bọn tội phạm mạng và là mối đe dọa chính đối với người dùng
Internet [1], [2]. Bắt đầu từ các ứng dụng chống vi-rút giả mạo tương
đối đơn giản vào năm 2008, ransomware đã phát triển trong thời gian đó
và nổi lên thành các dạng phức tạp như ransomware loại tiền điện tử.
Apotheosis của sự tiến hóa này là sự xuất hiện của một loại ransomware
mới, kết hợp việc sử dụng khai thác với cơ chế lây lan giống như sâu để
tự lan truyền trong cả mạng nội bộ và mạng bên ngoài.
Phần còn lại của bài báo được tổ chức như sau. Trong Phần II, chúng
tôi trình bày các thông tin cơ bản liên quan về ransomware nói chung và
WannaCry nói riêng. Trong Phần III, IV và V, chúng tôi trình bày những
phát hiện chính từ phân tích tĩnh và động đã thực hiện của chúng tôi
về WannaCry, bao gồm các chỉ số mạng vốn có của nó. Cuối cùng, Phần VI
rút ra các kết luận và thảo luận về các hướng đi tiềm năng trong tương
lai.
, ,
Vassilios G. Vassilakis Ioannis D. Moscholios † Michael D. Logothetis ‡
,
Maxat Akbanov
Machine Translated by Google

2. được mô tả trong bản tin bảo mật MS17-010 [6]. Khả năng lưu manh này
cho phép kẻ thù thực thi mã từ xa trên
của WannaCry. Để thực hiện phân tích, hai máy ảo
là: Intel Core i7-4700MQ 2,40 GHz và RAM 16 GB. Các
và các thành phần mã hóa chứa các thư viện liên kết động
các nhà cung cấp bảo mật, trong tổng số 300 000 hệ thống tại hơn 150 quốc gia
và giao diện lập trình ứng dụng tệp thời gian chạy C (API).
khai thác lỗ hổng khối tin nhắn máy chủ (SMB) mà
thông qua lỗ hổng SMB bằng cách chủ động thăm dò
trên hệ thống. Trong quá trình phân phối, WannaCry's
quan sát với Pestudio. Như được trình bày trong Bảng IV và V, trong
và khai thác DoublePulsar, được cho là đã bị rò rỉ vào tháng 4
XP đến Windows 8.1, ngoại trừ Windows 10.
hệ thống Windows chưa được vá. Đặc biệt, lỗ hổng này
DoublePulsar là một backdoor bền bỉ có thể được sử dụng
là một bộ công cụ Linux miễn phí dành cho kỹ thuật đảo ngược và phần mềm độc hại
thành phần và thành phần mã hóa (Bảng I). Phía dưới
Các mẫu WannaCry được lấy từ VirusShare [8].
cài đặt cấu hình cho máy chủ bị nhiễm. Kernel32.dll
thành phần. Điều này có thể cho thấy rằng chức năng mã hóa chính của
WannaCry đã được thực hiện bởi hai thư viện này.
thời gian. Hơn nữa, WannaCry có một thành phần mã hóa
thành phần. Tính năng này làm cho các cuộc tấn công hiệu quả hơn và
máy bị nhiễm bằng cách gửi các tin nhắn được chế tạo đặc biệt tới
Máy ảo thứ nhất đang chạy Windows 7 SP1 và bị nhiễm
(DLL), như được hiển thị trong Bảng II và III. Trong quá trình thực hiện,
Thư viện Crypto API được sử dụng để tạo và quản lý
đã bị hư hại nghiêm trọng. Cuộc tấn công ảnh hưởng trên phạm vi rộng
đã được vá bởi Microsoft vào ngày 14 tháng 3 năm 2017 và đã được
Một khó khăn trong việc bảo vệ chống lại WannaCry nằm ở chỗ
Các cổng TCP và nếu thành công, hãy cố gắng cấy ghép DoublePulsar
Trong phần này, chúng tôi trình bày những phát hiện của chúng tôi từ phân tích tĩnh
(VM) đã được sử dụng. Các đặc tính của máy chủ
Phân tích bằng công cụ Pestudio [9] đã tiết lộ rằng sâu
WannaCry nói chung sử dụng tiền điện tử của Microsoft, quản lý tệp
2017 bởi một nhóm có tên là The Shadow Brokers. EternalBlue
thành phần sâu sử dụng EternalBlue để lây nhiễm ban đầu
để truy cập và thực thi mã trên tem hệ thống đã bị xâm phạm trước đó,
do đó cho phép những kẻ tấn công cài đặt thêm phần mềm độc hại
phân tích.
chúng tôi mô tả những phát hiện chính của chúng tôi.
và msvcrt.dll là hai thư viện được gọi nhiều nhất bằng mã hóa
Để xác nhận điều này, các chức năng đã nhập của các thư viện là
dựa trên mật mã khóa công khai.
Trong giai đoạn lây nhiễm, WannaCry sử dụng EternalBlue
một máy chủ SMBv1, kết nối với các cổng TCP 139 và 445 của
ảnh hưởng đến tất cả các phiên bản Windows chưa được vá bắt đầu từ Windows
Muốn khóc. Máy ảo thứ 2 đang chạy REMnux [7],
Đặc biệt, chúng tôi đã phân tích hai tệp thực thi: sâu
sâu gọi iphlpapi.dll để truy xuất mạng
khóa mật mã đối xứng và không đối xứng.
yêu cầu các cơ chế phòng thủ có thể phản ứng nhanh chóng và thực tế
thuộc các lĩnh vực, bao gồm y tế, chính phủ, viễn thông và sản xuất
khí / dầu.
khả năng tự lây lan sang các hệ thống khác bằng cách sử dụng một con sâu
cửa hậu trên các hệ thống bị nhiễm.
BẢNG I. CÁC THÀNH PHẦN WANNACRY .
BẢNG IV. CÁC CHỨC NĂNG LINH KIỆN WANNACRY WORM.
BẢNG II. DLLS do WANNACRY WORM COMPOKING.
BẢNG III. DLLS ĐƯỢC THAM GIA CỦA WANNACRY ENCRYPTION
THÀNH PHẦN.
BẢNG V. CÁC CHỨC NĂNG LINH KIỆN CỦA WANNACRYPTION .
0xa6d8
CryptGenRandom
SHA256 ed01ebfbc9eb5bbea545af4d01bf5f107166184048043
Windows Socket 2.0 32-bit
0xdc04
StartServiceCtrDispatcherA
0xa714
0xa53a
msvcrt.dll
CreateServiceA
InternetOpenUrlA
RegCreateKeyW
fopen fread
fwrite
fclose
Sự miêu tả
Chức năng
SHA1 e889544aff85ffaf8b0d0da705105dee7c97fe26
32
11
Vị trí
0xdcb8
0xdc62
0xa688
Thư viện
ws2 32.dll
iphlpapi.dll
wininet.dll
kernel32.dll
advapi32.dll
msvcp60.dll
msvcrt.dll
84c82835a5d21bbcf75a61706d8ab549
0xdcd4
Thành phần Worm
0xa792
49
RegisterServiceCtrDispatcherA
Windows NT CRT
OpenServiceA
CryptAcquireContextA
9c6e5babe8e080e41aa
API trình trợ giúp IP
Ứng dụng khách API cơ sở Windows NT
0xd922
SHA256 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa
0xa97a
OpenMutexA 0xda84
Nhập khẩu
3 2
MD5
CreateFileA
Ứng dụng khách API cơ sở Windows NT
GetCurrentThread
Ứng dụng khách API Multi-UserWindows USER
CreateServiceA
0xa650
2
0xdc52
StartServiceA
OpenServiceA
Tiện ích mở rộng Internet cho Win32
Thư viện
kernel32.dll
advapi32.dll
user32.dll
db349b97c37d22f5ea1d1841e3c89eb4
Loại tệp PE32 thực thi (GUI) Intel 80386, dành cho MSWindows
0xdccc
0xa7c8
GetComputerNameW 0xd8b2
0xa6f6
Loại tệp PE32 thực thi (GUI) Intel 80386, dành cho MSWindows
StartServiceA
Đọc tài liệu
GetStartupInfoA
0xa638
API cơ sở Windows 32 nâng cao
API cơ sở Windows 32 nâng cao
0xd964
614ea04703480b1022c
0xa662
0xdc14
SHA1 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
Sự miêu tả
MD5
Chức năng
0xdcc2
Windows NT CRT
Vị trí
28
Thành phần mã hóa
CryptReleaseContext
GetAdaptersInfo
3
Nhập khẩu
54 10
Thư viện thời gian chạy Windows NT C ++
1
0xdc2a
III. PHÂN TÍCH THỐNG KÊ WANNACRY
Machine Translated by Google

3. IV. PHÂN TÍCH DYNAMIC WANNACRY
Hình 1. Thử nghiệm để phân tích WannaCry động.
Trong phần này, chúng tôi trình bày những phát hiện của
chúng tôi từ phân tích động của WannaCry. Cuối cùng, một thử
nghiệm ảo của Hình 1 đã được xây dựng. Đặc biệt, một mạng
tùy chỉnh VMnet 5 - 192.168.180.0/24 đã được tạo với tùy chọn
Virtual Network Editor trong VMWare hypervisor. Lược đồ này
cho phép quan sát các truy vấn hệ thống tên miền (DNS) do
WannaCry thực hiện trong quá trình lây nhiễm và sao chép,
được thực hiện bởi thành phần sâu thông qua mạng bên trong
và bên ngoài thông qua cổng 445 của giao thức SMBv1. Máy
REMnux hoạt động như máy chủ DNS và HTTP, có thể chặn tất cả
các giao tiếp mạng bằng Wireshark. Các dịch vụ DNS và HTTP
trong REMnux đã được kích hoạt bằng cách sử dụng các tiện ích
FakeDNS và HTTP Daemon tương ứng.
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
• c.wnry chứa danh sách các địa chỉ Tor có phần mở
rộng .onion và liên kết đến tệp cài đặt đã nén của
trình duyệt Tor từ Tor Project [11].
t.wnry là một tệp được mã hóa bằng WANACRY! định dạng
mã hóa. Tiêu đề tệp bắt đầu bằng WANACRY! sợi dây.
taskdl.exe là công cụ hỗ trợ xóa các tập tin có phần
mở rộng .WNCRY. Bằng cách quan sát các thuộc tính
của tệp, có thể tìm thấy mô tả giả trang sau: “Tiện
ích cấu hình máy khách SQL”.
• b.wnry là một tệp hình ảnh được sử dụng để hiển thị
hướng dẫn giải mã các tệp người dùng. Nó bắt đầu với
42 chuỗi 4D, cho biết rằng tệp này là một hình ảnh bitmap.
Thành phần mã hóa chứa một kho lưu trữ ZIP được bảo vệ bằng
mật khẩu. Chúng tôi đã quản lý để lấy được mật khẩu, “WNcry
@ 2ol7”, bằng cách tháo bộ mã hóa bằng công cụ IDA Pro [10]
(xem Hình 4). Nội dung của kho lưu trữ ZIP được tóm tắt trong
Bảng VI và được mô tả dưới đây:
thông tin lấy được từ hệ thống bởi các chức năng độc
hại của WannaCry.
Nếu mutex có trên hệ thống, thì thành phần mã hóa sẽ tự động
dừng lại mà không cần thực hiện thêm bất kỳ hành động nào.
Nếu không, quá trình mã hóa sẽ bắt đầu. Để mã hóa từng tệp,
một khóa AES đối xứng 16 byte khác nhau được tạo bằng cách sử
dụng hàm CryptGenRandom. Sau đó, mọi khóa AES được tạo đều
được mã hóa bằng khóa RSA công khai (là một phần của thành
phần mã hóa) và được lưu trữ bên trong tiêu đề tệp bắt đầu
bằng WANACRY! Chuỗi giá trị. Các tệp được mã hóa được đổi tên
và thêm phần mở rộng tệp .WNCRY.
• msg là một thư mục chứa danh sách các tệp định dạng văn bản
đa dạng thức (RTF) với phần mở rộng là wnry. Các tệp này
là các hướng dẫn readme được sử dụng để hiển thị mes sage
tống tiền cho nạn nhân bằng các ngôn ngữ khác nhau, dựa trên
• Tệp s.wnry là một tệp nén ZIP (chữ ký HEX 50 4B 03 04)
chứa tệp thực thi phần mềm Tor. Tệp thực thi này đã
có được với sự hỗ trợ của công cụ WinHex [12] bằng
cách lưu dữ liệu nhị phân thô với phần mở rộng .zip.
•
Tiện ích FakeDNS tại REMnux ghi lại yêu cầu DNS độc hại
trên cổng 80 (Hình 2), trong khi Wireshark hiển thị (Hình 3)
trường truy vấn gói DNS từ máy bị nhiễm (IP 192.168.180.130)
tới máy chủ DNS trên REMnux (IP 192.168.180.128).
MsW inZonesCacheCounterMutexA
• u.wnry là một tệp thực thi (chữ ký HEX 4D 5A) có tên “@
WanaDecryptor @ .exe”, tệp này đại diện cho thành
phần giải mã của WannaCry.
•
Mặt khác, nếu thành phần sâu không thể thiết lập kết nối với
miền này (ví dụ: nếu miền không hoạt động hoặc nếu không có
kết nối), nó sẽ tiếp tục chạy và tự đăng ký dưới dạng “Dịch
vụ của Trung tâm Bảo mật Microsoft (2.0) ”Tiến trình mssecsvs
2.0 trên máy bị nhiễm.
GlobalnMsW inZonesCacheCounterMutexW
Sau khi cài đặt chính nó như một dịch vụ, thành phần sâu sẽ
trích xuất tài nguyên R được mã hóa cứng và sau đó sao chép nó
vào C: Windows taskche.exe. Tài nguyên R đại diện cho nhị
phân của thành phần mã hóa WannaCry. Trong quá trình thực thi,
thành phần mã hóa sẽ kiểm tra xem có tồn tại một trong các đối
tượng loại trừ lẫn nhau (mutexes) sau đây không:
taskse.exe là công cụ hỗ trợ thực thi phần mềm độc
hại trên các phiên giao thức máy tính từ xa (RDP).
Mô tả tệp sau đây đã được xác định: “waitfor - đợi /
gửi tín hiệu qua mạng”.
•
Miền nói trên là miền kill-switch. Có nghĩa là, nếu miền
đang hoạt động, thành phần sâu sẽ ngừng chạy.
Phân tích động của chúng tôi đã tiết lộ rằng, khi khởi
động, thành phần sâu sẽ cố gắng kết nối với miền sau, sử dụng
hàm InernetOpenUrl:
• r.wnry là một tệp văn bản bằng tiếng Anh với các hướng
dẫn mã hóa bổ sung được thành phần giải mã sử dụng
(tệp u.wnry được đề cập bên dưới).
GlobalnMsW inZonesCacheCounterMutexA
Machine Translated by Google

4. 2017-05-10
r.wnry
s.wnry
t.wnry
taskdl.exe
taskse.exe
2017-05-11
2017-05-11
u.wnry
c.wnry
Kích thước tên (byte)
1.329.657
1.440.054
780 864
3.038.286
65.816
20.480
20.480
245.760
2017-05-11
b.wnry
2017-05-11
2017-05-11
tin nhắn
2017-05-11
2017-05-11
Đã sửa đổi
2017-05-09
V. TRUYỀN THÔNG WANNACRY
Hình 6. Lưu lượng mạng bên ngoài WannaCry cố gắng khai thác SMB.
BẢNG VI.
Hình 2. Chụp FakeDNS của yêu cầu DNS độc hại.
Hình 4. Mật khẩu cho một kho lưu trữ ZIP trong thành phần mã hóa.
Hình 3. Chụp Wireshark của yêu cầu DNS độc hại.
Hình 5. Lưu lượng mạng nội bộ WannaCry cố gắng khai thác SMB.
• Xóa tất cả các danh mục sao lưu.
dịch vụ cố gắng phát tán tải trọng của WannaCry thông qua SMB
Trong quá trình thực thi, WannaCry cũng cố gắng liên hệ với
thành phần sâu cố gắng khai thác dịch vụ để có khả năng lưu thông được
mô tả trong MS17-010 [6]. Trong quá trình thử nghiệm của chúng tôi,
các hành động sau:
• Xóa tất cả các bản sao lưu (bóng mờ) và cố gắng giải phóng trước
khi được khởi động ở chế độ an toàn bằng cách thực hiện một số
và cố gắng kết nối với cổng TCP 445. Điều này có thể được quan sát thấy
trong đó hai trong số chúng chứa IP đã mã hóa đã nói ở trên
Sau khi thực hiện các tương tác ban đầu và kiểm tra mức độ kết nối
với miền kill-switch, chức năng sâu
bắt đầu quá trình nhân giống, thành phần sâu thu được
Hàm GetAdaptersInfo và xác định các mạng con hiện có.
Phân tích năng động của chúng tôi cũng đã tiết lộ rằng, để đạt được
Sau đó, thành phần sâu sẽ cố gắng kết nối với tất cả các địa chỉ
IP có thể tìm được trong bất kỳ mạng cục bộ khả dụng nào, trên cổng TCP
vào tính năng AutoRun của Windows.
truy cập vào tất cả các tệp trên máy.
• Cố gắng loại bỏ các chuyên nghiệp cơ sở dữ liệu SQL và MS
Exchange bằng cách thực thi một số lệnh trong Windows
Đồng thời, thành phần sâu cố gắng lây lan
đặc điểm của lưu lượng được tạo là nó chứa hai địa chỉ IP được mã hóa
cứng: 192.168.56.20 và 172.16.99.5. Họ có thể
các chuỗi sao chép đồng thời tải trọng trong nội bộ
như trong Hình 5.
mà nó thực thi mỗi khi máy được khởi động lại.
• Bằng cách sử dụng dòng lệnh Winsdows, tạo một VBScript
được trình bày trong Bảng VII.
lỗ hổng trên bất kỳ hệ thống dễ bị tấn công nào.
Các nỗ lực kết nối đã được quan sát với Wireshark trong REM nux, khi
máy bị nhiễm (IP 192.168.180.130) được gửi
lệnh trong dòng lệnh Windows.
với Wireshark trên REMnux, như trong Hình 6. Danh sách đầy đủ
được thiết lập bằng cách khởi chạy dịch vụ mssecvs 2.0. Cái này
địa chỉ IP của các giao diện mạng cục bộ bằng cách gọi
445 (cổng mặc định cho dịch vụ SMB qua IP). Nếu thành công,
vẫn tồn tại trên máy bị nhiễm, WannaCry thực hiện
qua các mạng bên ngoài bằng cách tạo các địa chỉ IP khác nhau
dòng lệnh.
được quan sát bằng cách trích xuất chuỗi từ nhị phân. Cụ thể, WannaCry
gửi ba gói thiết lập phiên NetBIOS,
các địa chỉ.
(nội bộ) và mạng bên ngoài. Trong mạng nội bộ, trước đây
• Sử dụng lệnh “icacls” của Windows để tự cấp đầy đủ
• Cố gắng đạt được sự bền bỉ của bộ nhớ bằng cách thêm
chương trình tạo một phím tắt duy nhất của tệp giải mã WanaDe
cryptor @ .exe.
Trong quá trình thăm dò SMB của WannaCry, một trong những
Để thực hiện điều này, WannaCry tạo ra hai
Các gói thăm dò SMB tới máy chủ Windows (IP 192.168.180.134),
• Tạo mục nhập trong sổ đăng ký Windows để đảm bảo
Các địa chỉ IP do WannaCry tạo ra thu được trong quá trình phân tích của chúng tôi
CÁC LỆNH TRONG MẠNG LẠI ĐƯỢC BẢO VỆ MẬT KHẨU ZIP .
Machine Translated by Google

5. Symantec, tháng 7 năm 2017.
[4] McAfee Labs, “Tìm hiểu về ransomware và các chiến lược để đánh bại nó,”
NGƯỜI GIỚI THIỆU
[9] Pestudio, Công cụ đánh giá phần mềm độc hại, https://www.winitor.com, truy cập ngày 12
tháng 6 năm 2018.
[16] JM Ceron, CB Margi và LZ Granville, “MARS: Một giải pháp phân tích phần mềm độc hại dựa
trên SDN,” Proc. Hội nghị chuyên đề IEEE về Máy tính và Truyền thông (ISCC), Messina,
Ý, tháng 8 năm 2016.
12 năm 2018.
An ninh, tập. 4, tr. 8-12, tháng 4 năm 2016.
Logothetis, “Một kiến trúc do phần mềm xác định cho các mạng di động thế hệ tiếp
theo,” Proc. Hội nghị Quốc tế IEEE về Truyền thông (ICC), Kuala Lumpur, Malaysia,
tháng 5 năm 2016.
[18] K. Cabaj và W. Mazurczyk, “Sử dụng mạng do phần mềm xác định để giảm thiểu ransomware:
Trường hợp của CryptoWall,” IEEE Network, vol. 30, không. 6, trang 14-20, tháng 12
năm 2016 [19] K. Cabaj, M. Gregorczyk và W. Mazurczyk, “Phát hiện ransomware dựa trên
mạng do phần mềm xác định bằng cách sử dụng các đặc điểm lưu lượng HTTP”, Máy tính & Kỹ thuật
Điện, vol. 66, trang 353- 386, tháng 2 năm 2018.
[3] C. Everett, “Ransomware: Trả hay không trả ?,” Gian lận Máy tính &
[14] VG Vassilakis, ID Moscholios, BA Alzahrani, và MD
[17] VG Vassilakis, ID Moscholios, BA Alzahrani, và MD Lo gothetis, “Về bảo mật của các mạng
di động thế hệ tiếp theo do phần mềm xác định,” Proc. Diễn đàn Công nghệ Thông tin và
Truyền thông IEICE (ICTF), Patras, Hy Lạp, tháng 7 năm 2016.
[8] ViRus Share kho chứa phần mềm độc hại, https://virusshare.com, được truy cập vào tháng 6
[13] B. Nunes, M. Mendonca, XN Nguyen, K. Obraczka, và T. Turletti, “Khảo sát về mạng do
phần mềm xác định: Quá khứ, hiện tại, tương lai của mạng lập trình,” IEEE
Communications Survey & Tutorials, vol. 16, không. 3, trang 1617-1634, tháng 2 năm
2014.
[2] K. Savage, P. Coogan, và H. Lau, “Sự phát triển của Ransomware”, Phản hồi bảo mật,
Symantec, tháng 6 năm 2015.
[7] REMnux: Bộ công cụ Linux dành cho thiết kế ngược và phân tích phần mềm độc hại, https://
remnux.org, được truy cập vào ngày 12 tháng 6 năm 2018.
2018.
[12] WinHex: Computer Forensics and Data Recovery Software, https://www.x-ways.net/winhex,
truy cập ngày 12 tháng 6 năm 2018.
VI. KẾT LUẬN VÀ CÔNG VIỆC TƯƠNG LAI
[6] Microsoft Security Bulletin MS17-010 - Critical, ngày 14 tháng 3 năm 2017.
[5] Symantec, “Những điều bạn cần biết về phần mềm tống tiền WannaCry,”
[10] IDA Pro, https://www.hex-rays.com/products/ida, truy cập ngày 12 tháng 6,
[11] Tor Project, https://www.torproject.org, truy cập ngày 12 tháng 6 năm 2018.
Threat Intelligence, tháng 10 năm 2017.
[1] D. O'Brien, “Ransomware 2017”, Báo cáo về Mối đe dọa An ninh Internet,
Sách trắng, 2016.
[15] C. Yoon, T. Park, S. Lee, H. Kang, S. Shin, và Z. Zhang, “Kích hoạt chức năng bảo mật
với SDN: Nghiên cứu khả thi,” Computer Networks, vol. 85, trang 1935, tháng 7 năm
2015.
Trong quá trình giao tiếp với các địa chỉ Tor, WannaCry thiết
lập một kênh HTTPS an toàn tới cổng 443 và sử dụng các cổng Tor
chung, 9001 và 9050, cho lưu lượng mạng và thông tin thư mục.
Điều này được để lại như công việc trong tương lai. Đặc biệt,
chúng tôi có kế hoạch điều tra việc sử dụng mạng xác định phần
mềm (SDN) [13], [14] để phát hiện và giảm thiểu ransomware. SDN
là một mô hình mới nổi của các mạng có thể lập trình, phân tách
các mặt phẳng dữ liệu và xe đẩy con. Bộ điều khiển SDN duy trì
chế độ xem toàn bộ mạng và thực hiện các quyết định chính sách.
Mặt khác, mỗi thiết bị ở mặt phẳng dữ liệu duy trì một hoặc nhiều
bảng luồng, nơi các quy tắc xử lý gói được lưu trữ. Điều này thay
đổi cách mạng được thiết kế và quản lý, đồng thời kích hoạt các
giải pháp bảo mật dựa trên SDN mới [15] - [17] chẳng hạn như
tường lửa và hệ thống phát hiện xâm nhập cho các loại phần mềm
độc hại khác nhau, bao gồm giảm thiểu phần mềm tống tiền [18], [19].
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion https://
dist.torporject.org/torbrowser/6.5.1/tor - win32
Máy chủ C&C bằng cách phân tích cú pháp nội dung của c.wnry, chỉ
định dữ liệu cấu hình, bao gồm các địa chỉ .onion sau để kết nối
và tệp cài đặt trình duyệt Tor đã nén:
Những phát hiện của công trình này có thể được sử dụng để
thiết kế các cơ chế giảm thiểu hiệu quả và hiệu quả đối với
WannaCry và các họ ransomware khác có hành vi tương tự.
Chúng tôi đã thực hiện phân tích động và tĩnh của ransomware
Wan naCry. Cả hai thành phần mã hóa và sâu của WannaCry đã được
kiểm tra bằng cách sử dụng một loạt các công cụ phân tích phần
mềm độc hại và thiết kế ngược. Phân tích tĩnh của chúng tôi đã
tiết lộ thông tin quan trọng liên quan đến DLL và các chức năng
chính của Windows được WannaCry sử dụng, cũng như về các công cụ
bổ sung, chẳng hạn như thành phần giải mã. Phân tích động lực
học của chúng tôi đã tiết lộ các đặc điểm và hành vi quan trọng
của WannaCry trong quá trình thực thi. Đặc biệt, chúng tôi đã
xác định các địa chỉ Tor được sử dụng cho C&C, các kết nối TCP
và DNS được quan sát cũng như các đầu dò SMB, cũng như các hành
động liên quan đến sự tồn tại và xáo trộn của WannaCry.
Địa chỉ IP: cổng
109.140.223.210: 445
206.242.244.156: 445
202.76.26.154: 445
205.215.5.24: 445
80.133.73.130: 445
198.73.58.205: 445
40.188.28.244: 445
184.55.110.103: 445
52.213.90.240: 445
BẢNG VII. ĐỊA CHỈ IP BÊN NGOÀI DO WANNACRY TẠO RA.
Machine Translated by Google