逆向分析-IDA动态调试WanaCrypt0r的wcry.exe程序
0x00 前言
2017年5月12日全球爆发大规模蠕虫勒索软件WanaCrypt0r感染事件,各大厂商对该软件做了深入分析,但针对初学者的分析教程还比较少,复现过程需要解决的问题有很多,而且没有文章具体介绍勒索软件的实际运行流程,所以我写了这篇面向初学者的教程,希望帮助大家。
0x01 简介
本文将要介绍以下内容:
样本实际运行流程
IDA动态调试方法
具体调试wcry.exe的过程
0x02 样本分析
测试环境: Win 7 x86
测试工具: IDA 6.8
样本下载地址:http://bbs.pediy.com/thread-217586-1.htm
样本流程分析:
通过逆向分析,样本流程如下图
0x03 实际测试
1、启动IDA,加载样本文件wcry.exe
在IDA View-A窗口右键选着Graph view查看程序的整体流程图。该程序函数你比较多,为了快速定位目标,可以使用查找功能,如下图
找到sub_401225 函数双击,如下图
首先会通过一个函数算出一个标识,本质就是通过GetComputerNameW获取计算机名然后取随机数算出一个唯一对应的标识,后面的执行过程会用到这个标识
接下来会做几件事情,任意一项未执行成功都会退出 。
找到WinMain(x,x,x,x) 函数双击,如下图
检查命令行参数是否为两个,并且是否有/i这个参数
检查并尝试获取文件属性和 Temp系统临时目录下创建前面算出的DisplayName为标识的目录
创建tasksche.exe程序,
将tasksche.exe优先以服务方式启动,如果失败则以普通进程方式启动(副本启动的入口点和原始文件启动的入口点不同,从而实现不同的逻辑)
通过互斥体Global\\MsWinZonesCacheCounterMutexA来判断是否启动成功以上几项都成功完成后流程才会继续,否则终止。
创建注册表项HKEY_LOCAL_MACHINE\...\wd ,写入当前路径值
从资源中释放PE文件taskdl.exe、taskse.exe,为了免杀,资源中的PE文件是加了密的;
通过‘WNcry@2ol7’密码解密资源中的PE文件,
"attrib +h ." 命令是将其释放的文件属性设置成隐藏模式,
"icacls . /grant Everyone:F /T /C /Q" 此命令是允许所有用户对全盘有完全访问权限。
经过以上步骤程序释放的PE文件
在当前目录下读取c.wnry文件
如果读取到了c.wnry文件,就会将13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94通过一个随机数加密后写回到c.wnry,而这一串数字就是黑客的比特币地址,也就是说c.wnry文件里保存的是加密后的黑客的比特币地址(有三个地址)。
接下来是动态获取所需的API地址
首先是获取kernel32.dll中的文件相关的API
然后是获取advapi32.dll中的加解密相关的API
CSP用的是系统默认或者是RSA and AES
加密文件以WANACRY!为特征头
如下图
修改桌面背景显示勒索信息,如下图
弹出勒索窗口,显示比特币钱包地址和付款金额,如下图
其中箭头所指处为黑客收取比特币的三个账号地址之一