一圖勝千言——WannaCry勒索軟體的可視化分析報告

不久之前，採用NSA泄露的網路武器庫中「永恆之藍（EternalBlue）」漏洞傳播的WannaCry勒索軟體在互聯網中出現，主動掃描結合遠程漏洞利用的蠕蟲特性使其在各大專網、區域網中迅速傳播，造成巨大影響。

中國科學院軟體研究所協同創新團隊第一時間利用團隊自主研發的「金剛惡意軟體智能分析系統」（金剛惡意軟體智能分析系統 | 登錄 頁面）對樣本進行了自動化分析，並發布了相關分析報告。該報告系統、直觀地展現了WannaCry勒索軟體的攻擊過程，提供了釋放的中間文件、發起的網路連接等關鍵信息，對快速、準確掌握惡意軟體實現機理，確定應對機制具有重要幫助。分析過程及報告生成全程自動完成，分析過程高效，是惡意軟體快速響應的重要技術支撐。

為了幫助大家能夠更好地了解WannaCry勒索軟體的攻擊行為，我們結合可視化技術對該勒索軟體的分析報告進行解讀。

一、第一個WannaCry勒索軟體相關樣本分析結果

5月13日，「金剛惡意軟體智能分析系統」分析了第一個WannaCry勒索軟體相關樣本，完整的分析報告詳見這裡（金剛惡意軟體智能分析系統）。

從該分析報告中的運行過程截圖可以看出，樣本執行初期沒有任何引人注意的表現，但隨後分析主機的桌面被替換、前台彈出提示信息，此時一切都為時已晚，用戶的各種文件已經被加密（圖1、圖2）。

圖1 樣本在分析系統內的運行過程截圖

圖2 樣本感染分析系統後的勒索界面截圖

而我們從報告的行為列表及動態行為邏輯關係圖中可以看到，樣本釋放了大量可執行程序以及bat、vbs等惡意腳本，並藉助這些程序、腳本和Windows自帶的系統工具共同完成攻擊目的。例如通過attrib系統工具實現自我隱藏、利用icacls工具獲取文件操作許可權、利用vssadmin工具破壞系統還原功能、利用reg程序導入註冊表實現自啟動等（圖3）。

圖3 樣本的動態行為邏輯關係圖（部分）

在前述的準備工作完成後，樣本開始執行最重要的攻擊任務——文件加密。在行為列表中可以看到大量與文件操作相關的行為，包括修改文件屬性、讀寫文件、修改文件創建時間、文件重命名等。這些正是WannaCry對用戶文件進行加密的詳細過程（圖4）。

圖4 樣本的惡意行為（部分）

進一步觀察樣本的詳細行為數據可以發現，攻擊程序針對每個文件生成了一個擴展名為WNCRYT的臨時文件，在加密完成並設置好文件創建時間後，會將該臨時文件重命名為WNCRY文件。

勒索軟體加密的文件類型非常廣泛，主要包括doc、xls、jpg等各種文檔和圖片，具體這些被加密後的文件長什麼樣呢？通過下載查看分析報告里的「中間文件」可以看到，被加密後文件頭部均變成了「WANACRY!」標識（圖5）。

圖5 樣本加密的文件及加密後的文件內容

除了以上主機破壞行為以外，樣本運行過程中還能觀測到大量的網路行為，掃描大量隨機生成的IP地址（圖6）。

圖6 樣本對隨機生成的IP地址掃描產生的網路連接行為

二、完整樣本分析

實際上，上述分析報告中的樣本只是WannaCry的核心攻擊模塊（即下面分析報告中的tasksche.exe），為了更好地了解該勒索軟體的攻擊過程，我們對WannaCry的完整樣本進行了分析。

1、聯網環境下樣本分析

首先，我們在聯網環境下利用「金剛惡意軟體智能分析系統」對WannaCry勒索軟體進行分析，完整的分析報告詳見這裡（金剛惡意軟體智能分析系統）。

圖7 樣本在分析系統內的運行過程截圖

如圖7所示，從分析報告的運行過程截圖可以看出，樣本感染分析主機後，分析主機沒有出現任何可以察覺的變化。從樣本動態行為關係圖中，樣本只有一個訪問網路的行為及少量註冊表、文件操作行為外，沒有明顯的異常行為，如圖8所示。

圖8 樣本動態行為邏輯關係圖

從捕獲的分析主機網路流量中也可以看到，樣本除了對http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com這一特殊域名的DNS請求和HTTP訪問之外，沒有任何掃描和攻擊活動，如圖9所示。

圖9 樣本產生的網路流量解析結果

2、斷網環境下樣本分析

隨後，我們在斷網環境下利用「金剛惡意軟體智能分析系統」再次對WannaCry勒索軟體進行分析，完整的分析報告詳見這裡（金剛惡意軟體智能分析系統）。

從分析報告可以看出，該樣本展現了跟前述核心模塊分析報告中類似的數據加密行為和掃描傳播行為，報告中的樣本動態行為邏輯關係圖可以完整地展現該樣本在分析主機中的整個攻擊過程，以及所有的數據加密操作和掃描傳播行為，如圖10所示。

圖10 樣本動態行為邏輯關係圖

從捕獲的分析主機網路流量中也可以看到，樣本對http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com這一特殊域名的DNS請求，由於分析主機處於斷網狀態，該請求沒有獲得應答。樣本在持續發送了若干次對該域名的DNS解析請求後，開始出現對隨機產生的IP地址445埠的掃描攻擊，如圖11所示。

圖11 樣本產生的網路流量解析結果

從上述聯網環境和斷網環境下的樣本分析結果可以看出，WannaCry勒索軟體在感染主機後是否執行數據加密操作等攻擊破壞行為，與勒索軟體是否能夠成功訪問http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com這一特殊站點有密切關係。也就是說，http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com是一個控制該勒索軟體破壞和傳播過程的秘密開關，這與從代碼層面進行分析獲得的其他分析報告結果是一致的。然而，值得注意的是，WannaCry勒索軟體只有在能夠訪問該開關站點的情況下才不進行攻擊破壞，這與以往類似的惡意軟體秘密開關的邏輯是相反的！

此外，從上述WannaCry勒索軟體完整樣本與核心模塊分析報告的對比可以發現，該勒索軟體完整樣本與核心模塊之間的差異主要體現在對http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com這個隱藏的開關域名的訪問這一行為上。也就是說，攻擊者完全可以利用其他遠程攻擊漏洞，以及電子郵件、即時通訊、網站漏洞等方式傳播該核心攻擊模塊，給系統打上補丁、禁用網路共享、阻斷445埠訪問等措施可以抵禦「永恆之藍（EternalBlue）」漏洞攻擊，但防範WannaCry等類似惡意軟體，仍然任重道遠！

作者應凌雲，系中國科學院軟體研究所高級工程師

中國科學院軟體研究所「軟體智能分析」協同創新團隊是以蘇璞睿研究員課題組為主體成立的、面向軟體深度分析研究的跨部門協同創新隊伍。