【威胁分析】揭秘!WannaRen勒索病毒背后,一条恶意软件分发产业链
通告编 :NS-2020-0024
2020-04-08
| TA****G: | WannaRen、勒索软件、kms |
|---|---|
| 版本: | 1.0 |
1
事件背景
近日, 络上出现一种新型勒索病毒并在PC上开始传播。该勒索软件会加密Windows系统中的文件,并且以“.WannaRen”后缀命名。攻击者留下比特币钱包并索取0.05比特币。绿盟科技应急响应团队通过跟踪分析,发现“kms激活工具 19.5.2.exe”为勒索软件下载器,该下载器伪装成kms激活工具诱导用户下载。
经过分析排查,发现在“kms激活工具 19.5.2.exe”程序中,捆绑了powershell恶意代码。如下:
核心代码如下:
获取到的powershell脚本主要功能为:下载程序到本地执行。
其中的WINWORD.EXE带数字签名,可以绕过杀软检测,wwlib.dll使用vmp加壳,其编译信息和加壳信息与WannaRen勒索信息程序一致。
@WannaRen@.exe程序PE信息:
在分析环境,wwlib.dll不能被运行,所以无法确认是否存在加密行为。截止目前8 下午5点,已发出的安全分析文章,认为该程序(wwlib.dll)即WannaRen的加密模块。
2.2 后门、勒索、挖矿一体的下载器
上述分析的其实只是恶意代码的“冰山一角”,hxxp://cs.sslsngyl90.com中后续的代码还会执行更多的行为,包括:
- 下载并执行挖矿程序(门罗币)
- 下载“永恒之蓝”工具包并集成批量扫描工具
- Everything工具外壳程序,实际为木马程序,开放并监听本地3611端口
- 甚至包含一些驱动程序,创建设备DeviceWinRing0_1_2_0等。
门罗币挖矿进程:
同时,该病毒存在一些“缺陷”,即部分URL已经“失效”或者返回404,导致脚本异常退出中断执行。
2.3 恶意软件仍在持续更新中
4月8 ,发现hxxp://cs.sslsngyl90.com中的代码已经更新,开头部分如下:
WannaRen事件中wwlib.dll的导出函数:
2019年6月钓鱼事件中wwlib.dll的导出函数:
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!