くつろぎ備忘録

趣味で適当にくつろぐ人。真偽のほどは要検証で。

WannaCryと軽くふれあってみた。

WannaCryと戯れてみた? - くつろぎ備忘録

 

前回、微妙に異なるWannaCryを拾ってしまったので、ちゃんと動作するものを探してきました。

 

○検体

ファイルサイズ:3,723,264バイト

MD5:DB349B97C37D22F5EA1D1841E3C89EB4
SHA1:E889544AFF85FFAF8B0D0DA705105DEE7C97FE26
SHA256:24D004A104D4D54034DBCFFC2A4B19A11F39008A575AA614EA04703480B1022C

 

VIrusTotal

Antivirus scan for ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa at 2017-05-20 20:15:18 UTC - VirusTotal

 

○StringsやらResourceやら。

とりあえず覗いてみましたが、前回とは違い圧縮ファイルらしきものはResourceに見当たらず。

ただ、バイナリを見ていると所々に"MZ"が見えましたので、どうやら同じようなファイルを内包してそうな雰囲気。

 

○やっぱり展開をこころみる。

とりあえず、展開してみるとパスワードを要求されたので、同じパスワード"WNcry@2ol7"を入力してみると・・・展開できました!

f:id:rokutsugi_247:20170520202918p:plain

どうやら、中身はほとんど同じ気配。(上図は前回のもの)

 

○世間でうわさのキルスイッチとは?

本検体を実行すると、一番最初に滅茶苦茶なドメインに接続を試みるらしいので、さくっとIDA様で覗いてみる。

f:id:rokutsugi_247:20170521093738p:plain

"http://www.ieqerfsodp9ifjaposdfjhgosuri....."という適当にキーボードを叩いたようなドメインから応答があった場合、解析環境等と判断して動作を停止する仕組みを搭載したかったのかな?雑ですが。

 

つまり、この適当なドメインを取得して有効にしてあげれば、WannaCryは本来応答のないドメインから応答があったために動作を停止する訳ですね。

 

○動いちゃった場合は?

ぶっちゃけ面倒くさいので軽く続きを見ましたが、この後はサービスに登録されて、そこからWannaCryとして動作をしていく模様です。

 

00407C9B CALL CreateServiceA
hManager = 00BD3290
ServiceName = "mssecsvc2.0"
DisplayName = "Microsoft Security Center (2.0) Service"
DesiredAccess = SERVICE_ALL_ACCESS
ServiceType = SERVICE_WIN32_OWN_PROCESS
StartType = SERVICE_AUTO_START
ErrorControl = SERVICE_ERROR_NORMAL
BinaryPathName = "C:\[実行場所]\WanaCry.exe -m security"
LoadOrderGroup = NULL
pTagId = NULL
pDependencies = NULL
ServiceStartName = NULL
Password = NULL

 

こんな感じのを生成します。他にはC:\WINDOWS\tasksche.exeをWannaCryに置き換えて、CreateProcessしてみたり。何気に"/i"付けて起動してますが。

 

SMB関連の脆弱性をついた攻撃も、この後に行われるみたいですけど、詳細を出すといろいろ問題あるかもなので、後は個人で楽しみたい検証したいと思います。

 

まあ、本業があるので出来るかは微妙ですが・・・。