🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

WannaRen勒索事件追踪分析,潜伏已有半年之久

安恒信息 2022-05-12


近日,网络上出现了一种名为“WannaRen”的新型勒索病毒,后缀为.WannaRen,赎金为0.05个比特币。据报道,目前WannaRen勒索病毒正在国内外肆虐的传播,4月6日美国数十家医院受到了该比特币勒索软件的攻击。与此同时,国内称自己的主机感染该勒索病毒的人数也在急剧的上升。


安恒信息威胁情报中心第一时间对勒索事件进行溯源分析,发现该勒索软件作者使用国内知名西西软件园分发恶意程序,从19年10月开始,长达半年之久。针对此勒索事件的危害,安恒信息安全专家给出了安全防范措施。

      

勒索事件经过

安恒信息威胁情报中心通过排查发现,该勒索最早相关感染事件发生在4月4日21点30分左右。该勒索初期查杀率很低,在终端上仅诺顿可以防护。

事件追踪

  • 样本流程

用户使用非官方渠道下载精心打包的恶意程序,恶意程序执行powershell下载后续载荷,针对勒索事件,使用白加黑技术加载恶意的wwlib.dll,设置服务态启动,使得勒索实际过程在重启之后触发,重启之后加密勒索程序被注入到cmd.exe(mmc.exe、svchost.exe等),等待加密完成后,释放解密器和勒索信。


  • 挂马网站

通过追查发现客户在西西软件园下载了所谓绿色版的notepad++绿色版安装包:
URL
https://www.cr173.com/soft/2907.html?tdsourcetag=s_pctim_aiomsg
通过分析发现,内置了恶意Powershell:

我们根据特征对网络流传的样本进行了不完全统计,同样包含了恶意powershell的自解压程序包还有AcmeCAD:


TeamView:

 
冰点文库下载器:

 
KMS激活工具:

迅雷:

BT下载器:

 
破解版程序:

 
KMS激活工具等部分压缩包甚至直接内置了后门载荷:

 
DG也内置恶意后门载荷:

 

第一阶段Powershell执行

第一阶段powershell执行后非即刻触发,休眠后继续执行,而后判断系统是否安装360,QQPCTray杀毒软件,若无杀软则创建计划任务,执行第二阶段载荷powershell。
 


第二阶段powershell

根据统计,该阶段至少存在有5个远控地址,主要功能是从挂马网站下载恶意powershell(第三阶段载荷)。
 


http://c.musictld.xyz
http://us.usaptpro.site
http://c.wordappsto.icu
http://cs.sslsngyl90.com
http://us.howappyoude.club/v.txt
  

第三阶段Powershell

此阶段功能主要是从https://img.vim-cn.com/、https://www.upload.ee/、http://cdn2.weidown.com/上下载多个文件,并释放到C:\ProgramData\和C:\Users\Public\目录,释放勒索病毒、挖矿木马等多种恶意文件,在这里我们重点关注勒索相关内容:

下载的后门程序组合:

WINWORD.EXE为Microsoft Word 2007程序文件,有正常数字签名,wwlib.dll模块模仿Microsoft Word目录下WWLIB.DLL同名文件,通过路径劫持加载,路径劫持漏洞是利用当前目录下模块优先加载的原理来触发,因此WINWORD.EXE和wwlib.dll需要放在同一路经下,测试该模块通过Microsoft Word 2010也能加载;wwlib.dll使用了VMProtect加壳对抗反调试,比如调试器检测、虚拟机识别等,由易语言编写。

除了勒索相关内容外,还会下发如挖矿病毒,永恒之蓝武器库传播工具,everything带漏洞版本等,用于实现横向移动和挖矿等功能:


后门组件注册为服务

WINWORD后门程序启动后将自身注册为服务,等待重启触发后续操作:

 

重启后

一旦重启成功,会将payload注入cmd.exe、svchost.exe等进程,进行勒索。勒索完毕后释放解密器和勒索信。

二进制特征

加密器特征

解密器特征

使用VMP3.X加壳。
运行截图如下:

 

勒索钱包地址
1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
联系方式
WannaRenemal@goat.si
 


易语言特征

 

加密文件特征

WannaRen加密文件后,文件头尾添加WannaRenKeyL,WannaRen2字符串做为标识。


其他分析

根据行为和内存特征确认是中国人制作,甚至跟作者相关人员有可能曾经混入过针对此勒索的专项群,造成大范围技术人员被踢出群聊:


 


防范措施

  • 下载来源,此次恶意软件包传播主要以捆绑PowerShell脚本和污染下载站点实施,因此建议下载软件尽量去该软件官网下载,特别注意一些绿色安装包和激活器等工具;
  • PowerShell脚本是Windows系统自带的很有用的系统管理脚本,同时也越来越来多的被恶意软件或攻击者利用,如果确认不用该组件,可以考虑限制或卸载(需要谨慎操作);
  • 针对永恒之蓝漏洞传播的恶意软件,及时安装补丁和做好安全策略即可防范;
  • 此次勒索病毒使用了可信程序加载恶意模块的方式来逃避检测,模块还启用了反调试措施防止安全分析人员进行分析,但依然可以通过EDR、APT安全设备识别,可以通过在网络层、主机端各环节进行阻止。
 
 

IOC

文件相关

@WannaRen@.exe
1de73f49db23cf5cc6e06f47767f7fda
wwlib.dll
9854723bf668c0303a966f2c282f72ea
you
2d84337218e87a7e99245bd8b53d6eab
WINWORD.EXE
ceaa5817a65e914aa178b28f12359a46

URL相关

c.musictld.xyz
us.usaptpro.site
c.wordappsto.icu
cs.sslsngyl90.com
us.howappyoude.club/v.txt
http://cpu.sslsngyl90.com/xx.txt
http://cpu.goolecpuclan.xyz/vip.txt
  

关联

https://zhuanlan.zhihu.com/p/125794730
http://wannaren.rthe.net/?tdsourcetag=s_pctim_aiomsg
https://mp.weixin.qq.com/s/CwvICkPmSqfMq7Sr3m2akA
https://weibo.com/ttarticle/p/show?id=2309404491465395929255
 


安恒APT攻击(网络战)预警平台能够发现已知或未知威胁,平台的实时监控能力能够捕获并分析文档或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测;安恒EDR集合了PC及服务器安全加固、专利级勒索病毒防护和补丁管理等功能,可以有效提高业务系统对抗勒索病毒的能力,检测及拦截已知和未知安全威胁。通过安恒APT攻击(网络战)预警平台、安恒EDR等平台之间的联动,实时监测查杀勒索病毒,并且及时对主机进行安全加固和防护,可以有效防范勒索病毒的攻击侵害。


有关勒索病毒的咨询、应急处理热线:400-6059-110,安恒信息为您提供全天候的服务。


Zionlab团队招聘

长期招聘WEB/二进制安全研究员


职位描述:

1、负责公司检测类产品的策略维护(如漏洞扫描器、APT、入侵检测、工控物联网等,任意一种或多种)

2、负责跟进热门安全事件、最新漏洞的分析,并编写分析报告或poc代码等


职位要求:

1、熟悉安全漏洞原理,具备快速的漏洞定位分析能力;

2、至少熟悉一门脚本编程语言,能快速完成POC代码编写;

3、有漏洞挖掘、病毒木马分析、威胁情报挖掘、物联网工控设备漏洞分析挖掘等工作经验的优先。


联系方式:

Zionlab@dbappsecurity.com.cn




声明


本文仅限技术研究与讨论,严禁用于非法用途。由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,安恒信息以及文章作者不为此承担任何责任。安恒信息拥有对此文章的修改和解释权,未经允许不得修改、增减内容,不得以任何方式将其用于商业目的。



往期精选


围观

NO.1|安恒堡垒机市场份额排名荣获“亚太区及中国区”双第一


热文

工信部发文,“5G+车联网”按下快进键,网络安全跟上了吗?


热文

PC安全警报:新型勒索软件“WannaRen”大规模传播 多数杀毒软件暂时无法拦截



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存