読者です 読者をやめる 読者になる 読者になる

くつろぎ備忘録

趣味で適当にくつろぐ人。真偽のほどは要検証で。

WannaCryと戯れてみた?

 

世間で話題のランサムウェア『WannaCry』と戯れてみたところ、微妙に違ったけど適当に書いてみようと思います。

 

○検体

ファイルサイズ:3,514,368バイト

MD5:84C82835A5D21BBCF75A61706D8AB549
SHA1:5FF465AFAABCBF0150D1A3AB2C2E74F3A4426467
SHA256:ED01EBFBC9EB5BBEA545AF4D01BF5F1071661840480439C6E5BABE8E080E41AA

VirusTotal

https://www.virustotal.com/ja/file/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa/analysis/

 

○StringsやらResourceを覗いてみる

中を見ていく前に、StringsやResourceを確認してみたところ、意外にすんなりみえそうというか、Resourceに圧縮ファイルがマルッとついてますやん・・・。

f:id:rokutsugi_247:20170520202437p:plain

 

抽出して展開を試みると

f:id:rokutsugi_247:20170520202538p:plain

 

さらっと、パスワード入力が求められました。

 

○実行が怖いのでIDA様で覗いてみる

多分、いろいろなファイルを展開して悪さをするんだろうなーと適当にあたりを付けつつ、あっさりとパスワードが見つかりそうな気配だったので、IDA様で覗いてみた。

f:id:rokutsugi_247:20170520202742p:plain

詳しいことは割愛しますが、流れをみるとこれっぽい。

 

○圧縮ファイルの中身を覗いてみる。

f:id:rokutsugi_247:20170520202918p:plain

こんな感じ。

 

ちなみに、本検体を実行すると同じファイルが生成されますが、本来は生成されないみたい。

 

各ファイルは拡張子が腐ってますが、ほとんどが普通のファイルです。

msgの中には感染後に表示される説明文が入ってます。

f:id:rokutsugi_247:20170520203302p:plain

 

b.wnryは感染後の壁紙

f:id:rokutsugi_247:20170520203341p:plain

 

s.wnryは圧縮ファイルで、展開するとTor関係のファイルが出てきます。

f:id:rokutsugi_247:20170520203416p:plain

 

u.wnryは実行ファイル。WannaDecrypt0r

f:id:rokutsugi_247:20170520203520p:plain

f:id:rokutsugi_247:20170520203531p:plain

 

c.wnryには.onionのアドレスやらTorのダウンロード先

r.wnryにはQ&Aが記載されてます。

 

で、t.wnryですけど

こいつだけ用向きが少し違いまして、WannaCryのメインコードを生成する際に使用する模様です。

そして、残りのexeファイルもそのメインコード上で活用されます。

 

そんな訳ですが、メインコード部はVirtualAllocでメモリ確保した後に、展開されますので、追っかけるのは簡単だと思います。

 

○メインコードを覗いてみたけれど・・・

しばらくolly先生で格闘してたんですけど、CreateRemoteThreadが多くて非常にイライラしました。

 

キルスイッチやSMBの脆弱性関係はどこにあるんじゃーっと調べていたんですけど、どうにも見当たらない・・・。

 

で、試しにWannaCryを実行してみたんですが、上記の通信が発生することなくファイルは暗号化されて、お支払い誘導画面が表示されるだけ。

 

この辺で、この検体おかしくね?と気づいて別のWannaCryを探してみると、最初にキルスイッチの通信が発生してるし、SMB関係の通信もバンバン出るし。

 

どうやら、今回戯れてみたWannaCryは亜種の模様・・・。

Uiwixかも知れませんが、果たして本当は何なのか?

 

とりあえず、メインコード部を抽出して、stringsを覗いたので、まとまってた拡張子だけ晒しておきます。

多分、こいつらが暗号化の対象になりそうなので。

.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods

.ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay

.lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .dbf .odb .frm .myd .myi .ibd

.mdf .ldf .sln .suo .cpp .pas .asm .cmd .bat .ps1 .vbs .dip .dch .sch .brd

.jsp .php .asp .java .jar .class .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf

.avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .psd .nef

.tiff .tif .cgm .raw .gif .png .bmp .vcd .iso .backup .zip .rar .tgz .tar .bak .tbk

.bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .edb

.potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .xltm .xltx .xlc .xlm .xlt .xlw

.xlsb .xlsm .dotx .dotm .dot .docm .docb .jpg .jpeg .snt .onetoc2 .dwg .pdf

.wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .eml .msg .ost .pst .pptx .ppt .xlsx .xls

.docx .doc

 

大切なデータはバックアップとらんと、危ないね。

 

以上