查看: 4066|回复: 22
收起左侧

[技术原创] 360安全大脑独家:沸沸扬扬的WannaRen勒索病毒,幕后匿影浮出水面!

[复制链接]
360主动防御
发表于 2020-4-8 16:13:27 | 显示全部楼层 |阅读模式
本帖最后由 360主动防御 于 2020-4-8 19:51 编辑

最近,一种名为“WannaRen”的新型比特币勒索病毒正大规模传播,在各类贴吧、社区报告中招求助人数更是急剧上升,真可谓闹得满城风雨!不幸感染“WannaRen”勒索病毒的用户,重要文件会被加密并被黑客索要0.05BTC赎金。

在检测异常的第一时间,360安全大脑率先出击,首家发现“WannaRen”勒索病毒来源并且关联到幕后黑客团伙,并首家分析出真正的勒索攻击代码。经360安全大脑分析确认,“WannaRen”勒索病毒的作者正是此前借“永恒之蓝”漏洞祸乱网络的“匿影”组织。

此次“匿影”组织一改借挖矿木马牟利的方式,变换思路通过全网投递“WannaRen”勒索病毒,索要赎金获利。不过,广大用户不必太过担心,360安全大脑极智赋能下的360安全卫士已第一时间发现并支持对“WannaRen” 新型勒索病毒的拦截查杀。

谁是“匿影”组织?
“加密币挖掘机”变身“勒索病毒投递者”

从360安全大脑追踪数据来看,“匿影”家族在加密货币非法占有方面早有前科。早在以往攻击活动中,“匿影”家族主要通过“永恒之蓝”漏洞,攻击目标计算机,并在其中植入挖矿木马,借“肉鸡”(被非法控制电脑)挖取PASC币、门罗币等加密数字货币,以此牟利发家。

在攻击特征上,“匿影”黑客团伙主要利用BT下载器、激活工具等传播,也曾出现过借“永恒之蓝”漏洞在局域网中横向移动扩散的情况。“匿影”黑客团伙在成功入侵目标计算机后,通常会执行一个PowerShell下载器,利用该加载器下载下一阶段的后门模块与挖矿木马。

(PowerShell下载器部分代码)

而此次新型比特币勒索病毒“WannaRen”的扩散活动中,从表面看与此前的“WannaCry”病毒类似,都是病毒入侵电脑后,弹出勒索对话框,告知已加密文件并向用户索要比特币。但从实际攻击过程来看,“WannaRen”勒索病毒正是通过“匿影”黑客团伙常用PowerShell下载器,释放的后门模块执行病毒。

(“WannaRen”勒索病毒攻击全过程)

旧瓶装新毒:
“匿影”家族后门模块下发“WannaRen”勒索病毒

正如上文所述,“匿影”组织转行勒索病毒,但其攻击方式是其早起投放挖矿木马的变种。唯一不同,也是此次“WannaRen”扩散的关键,就在于PowerShell下载器释放的后门模块。

从360安全大脑追踪数据来看,该后门模块使用了DLL侧加载技术,会在“C:\ProgramData”释放一个合法的exe文件WINWORD.EXE和一个恶意dll文件wwlib.dll,启动WINWORD.EXE加载wwlib.dll就会执行dll中的恶意代码。

后门模块会将自身注册为服务,程序会读取C:\users\public\you的内容,启动如下图所示的五个进程之一并将“WannaRen”勒索病毒代码注入进程中执行。

(后门模块注入的目标)
在注入的代码中,可以看到是此次勒索病毒的加密程序部分:
完整的攻击流程如下面两图所示:
(“匿影”Powershell下载器释放并启动后门模块)
(“匿影”后门模块注入svchost.exe并加密文件)
WannaRen勒索病毒具备“横向传播”能力
360安全大脑强力截杀

追踪过程中,360安全大脑还发现“匿影”组织下发的PowerShell下载器中,包含了一个“永恒之蓝”传播模块。该模块会扫描内网中的其他机器,一旦有机器未修复漏洞就会惨遭感染,成为又一个“WannaRen”勒索病毒受害者。

(PowerShell下载器中的“永恒之蓝“传播模块)

(PowerShell下载器释放的“永恒之蓝”漏洞利用工具)
除此之外,PowerShell下载器还会在中招机器上安装一个名叫做everything的软件,利用everything的“HTTP 服务器”功能安全漏洞,将受害机器变为一台文件服务器,从而在横向移动时将木马传染至新的机器中。

(everything后门模块)

(通过修改everything配置文件把机器变为文件服务器)
不难看出,企业用户一旦不幸中招,“WannaRen”勒索病毒则可能在内网扩散。不过广大用户无需过分担心,360安全卫士可有效拦截此勒索病毒。面对突袭而来的“WannaRen”勒索病毒,360安全大脑再次提醒广大用户提高警惕,并可通过以下措施,有效防御勒索病毒:

1、及时前往weishi.360.cn,下载安装360安全卫士,查杀“匿影”后门,避免机器被投递勒索病毒;
2、对于安全软件提示病毒的工具,切勿轻信软件提示添加信任或退出安全软件运行;
3、定期检测系统和软件中的安全漏洞,及时打上补丁。


沸腾鱼
发表于 2020-4-8 16:15:48 | 显示全部楼层
360牛逼
kfne12
头像被屏蔽
发表于 2020-4-8 16:21:17 | 显示全部楼层
名叫做的everything后门



楼主不要这么激动。的字都插错位置了。。
Fire_Wind
头像被屏蔽
发表于 2020-4-8 16:21:48 | 显示全部楼层
那么360与火绒的观点相反咯
http://bbs.huorong.cn/thread-68297-1-1.html
zay365
头像被屏蔽
发表于 2020-4-8 16:24:45 | 显示全部楼层
Fire_Wind 发表于 2020-4-8 16:21
那么360与火绒的观点相反咯
http://bbs.huorong.cn/thread-68297-1-1.html

哪里相反了?应该是和360之前的一个观点相反吧
https://bbs.360.cn/thread-15862757-1-1.html
Fire_Wind
头像被屏蔽
发表于 2020-4-8 16:28:05 | 显示全部楼层
zay365 发表于 2020-4-8 16:24
哪里相反了?应该是和360之前的一个观点相反吧
https://bbs.360.cn/thread-15862757-1-1.html

kfne12
头像被屏蔽
发表于 2020-4-8 16:28:06 | 显示全部楼层
本帖最后由 kfne12 于 2020-4-8 16:31 编辑

everything我就在用。。这么好的软件,比360桌面助手的搜索好用多了

360干嘛说人家那个叫漏洞啊??

这个能算漏洞吗???

漏洞一词能这么乱用吗???
黑我everything者,虽远必喷。



zay365
头像被屏蔽
发表于 2020-4-8 16:29:56 | 显示全部楼层
本帖最后由 zay365 于 2020-4-8 16:31 编辑
kfne12 发表于 2020-4-8 16:28
everything我就在用。。这么好的软件,比360桌面助手的搜索好用多了

360干嘛说人家那个叫漏洞啊??[:08 ...

我之前也见到过有木马利用Everything的
严格的说这确实不算漏洞,照这么说利用powershell也算是漏洞了


kfne12
头像被屏蔽
发表于 2020-4-8 16:32:50 | 显示全部楼层
zay365 发表于 2020-4-8 16:29
我之前也见到过有木马利用Everything的
严格的说这确实不算漏洞,照这么说利用powershell也算是漏洞了
...

啥严格不严格的。

这根本就不叫漏洞。

那老子用cmd找500个过360主防.然后老子也可以说老子发现500个360漏洞了???
zay365
头像被屏蔽
发表于 2020-4-8 16:34:15 | 显示全部楼层
kfne12 发表于 2020-4-8 16:32
啥严格不严格的。

这根本就不叫漏洞。

你那些确实算是漏洞,是可以提交到平台上的
而everything的这个就是个自带的功能罢了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 07:58 , Processed in 0.125863 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表