一图胜千言——WannaCry勒索软件的可视化分析 告

不久之前，采用NSA泄露的 络武器库中“永恒之蓝（EternalBlue）”漏洞传播的WannaCry勒索软件在互联 中出现，主动扫描结合远程漏洞利用的蠕虫特性使其在各大专 、局域 中迅速传播，造成巨大影响。

中国科学院软件研究所协同创新团队第一时间利用团队自主研发的“金刚恶意软件智能分析系统”（http://tcasoft.com/）对样本进行了自动化分析，并发布了相关分析 告。该 告系统、直观地展现了WannaCry勒索软件的攻击过程，提供了释放的中间文件、发起的 络连接等关键信息，对快速、准确掌握恶意软件实现机理，确定应对机制具有重要帮助。分析过程及 告生成全程自动完成，分析过程高效，是恶意软件快速响应的重要技术支撑。

为了帮助大家能够更好地了解WannaCry勒索软件的攻击行为，我们结合可视化技术对该勒索软件的分析 告进行解读。

一、第一个WannaCry勒索软件相关样本分析结果

5月13日，“金刚恶意软件智能分析系统”分析了第一个WannaCry勒索软件相关样本，完整的分析 告详见这里（
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=
22bfa9109ab9d405af4188867620c730&sk=60036875）。

从该分析 告中的运行过程截图可以看出，样本执行初期没有任何引人注意的表现，但随后分析主机的桌面被替换、前台弹出提示信息，此时一切都为时已晚，用户的各种文件已经被加密（图1、图2）。

图1 样本在分析系统内的运行过程截图

图2 样本感染分析系统后的勒索界面截图

而我们从 告的行为列表及动态行为逻辑关系图中可以看到，样本释放了大量可执行程序以及bat、vbs等恶意脚本，并借助这些程序、脚本和Windows自带的系统工具共同完成攻击目的。例如通过attrib系统工具实现自我隐藏、利用icacls工具获取文件操作权限、利用vssadmin工具破坏系统还原功能、利用reg程序导入注册表实现自启动等（图3）。

图3 样本的动态行为逻辑关系图（部分）

在前述的准备工作完成后，样本开始执行最重要的攻击任务——文件加密。在行为列表中可以看到大量与文件操作相关的行为，包括修改文件属性、读写文件、修改文件创建时间、文件重命名等。这些正是WannaCry对用户文件进行加密的详细过程（图4）。

图4 样本的恶意行为（部分）

进一步观察样本的详细行为数据可以发现，攻击程序针对每个文件生成了一个扩展名为WNCRYT的临时文件，在加密完成并设置好文件创建时间后，会将该临时文件重命名为WNCRY文件。

勒索软件加密的文件类型非常广泛，主要包括doc、xls、jpg等各种文档和图片，具体这些被加密后的文件长什么样呢？通过下载查看分析 告里的“中间文件”可以看到，被加密后文件头部均变成了“WANACRY!”标识（图5）。

图5 样本加密的文件及加密后的文件内容

除了以上主机破坏行为以外，样本运行过程中还能观测到大量的 络行为，扫描大量随机生成的IP地址（图6）。

图6 样本对随机生成的IP地址扫描产生的 络连接行为

二、完整样本分析

实际上，上述分析 告中的样本只是WannaCry的核心攻击模块（即下面分析 告中的tasksche.exe），为了更好地了解该勒索软件的攻击过程，我们对WannaCry的完整样本进行了分析。

1、联 环境下样本分析

首先，我们在联 环境下利用“金刚恶意软件智能分析系统”对WannaCry勒索软件进行分析，完整的分析 告详见这里（
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=
ffb87c8783e427d94c0084b720e3821c&sk=61849283）。

图7 样本在分析系统内的运行过程截图

如图7所示，从分析 告的运行过程截图可以看出，样本感染分析主机后，分析主机没有出现任何可以察觉的变化。从样本动态行为关系图中，样本只有一个访问 络的行为及少量注册表、文件操作行为外，没有明显的异常行为，如图8所示。

图8 样本动态行为逻辑关系图

从捕获的分析主机 络流量中也可以看到，样本除了对
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这一特殊域名的DNS请求和HTTP访问之外，没有任何扫描和攻击活动，如图9所示。

图9 样本产生的 络流量解析结果

2、断 环境下样本分析

随后，我们在断 环境下利用“金刚恶意软件智能分析系统”再次对WannaCry勒索软件进行分析，完整的分析 告详见这里（
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=
24e8d220aadc4ecfc6cadec0690d2ad2&sk=52620589）。

从分析 告可以看出，该样本展现了跟前述核心模块分析 告中类似的数据加密行为和扫描传播行为， 告中的样本动态行为逻辑关系图可以完整地展现该样本在分析主机中的整个攻击过程，以及所有的数据加密操作和扫描传播行为，如图10所示。

图10 样本动态行为逻辑关系图

从捕获的分析主机 络流量中也可以看到，样本对
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这一特殊域名的DNS请求，由于分析主机处于断 状态，该请求没有获得应答。样本在持续发送了若干次对该域名的DNS解析请求后，开始出现对随机产生的IP地址445端口的扫描攻击，如图11所示。

图11 样本产生的 络流量解析结果

从上述联 环境和断 环境下的样本分析结果可以看出，WannaCry勒索软件在感染主机后是否执行数据加密操作等攻击破坏行为，与勒索软件是否能够成功访问
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这一特殊站点有密切关系。也就是说，
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com是一个控制该勒索软件破坏和传播过程的秘密开关，这与从代码层面进行分析获得的其他分析 告结果是一致的。然而，值得注意的是，WannaCry勒索软件只有在能够访问该开关站点的情况下才不进行攻击破坏，这与以往类似的恶意软件秘密开关的逻辑是相反的！

此外，从上述WannaCry勒索软件完整样本与核心模块分析 告的对比可以发现，该勒索软件完整样本与核心模块之间的差异主要体现在对
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com这个隐藏的开关域名的访问这一行为上。也就是说，攻击者完全可以利用其他远程攻击漏洞，以及电子邮件、即时通讯、 站漏洞等方式传播该核心攻击模块，给系统打上补丁、禁用 络共享、阻断445端口访问等措施可以抵御“永恒之蓝（EternalBlue）”漏洞攻击，但防范WannaCry等类似恶意软件，仍然任重道远！

中国科学院软件研究所“软件智能分析”协同创新团队是以苏璞睿研究员课题组为主体成立的、面向软件深度分析研究的跨部门协同创新队伍。