收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 WannaRen在虚拟机中成功运行的方法
1 ...111213141516171819... 37下一页
返回列表 发新帖
楼主: cloaker
 收起左侧

[其他相关] WannaRen在虚拟机中成功运行的方法

  [复制链接]
zay365
头像被屏蔽
发表于 2020-4-10 14:11:58 | 显示全部楼层
暗_黑 发表于 2020-4-10 13:40
加密了我的钉钉

你该不会是实机测试的吧
回复

举报

ft-cai
发表于 2020-4-10 14:15:15 | 显示全部楼层
a27573 发表于 2020-4-10 13:35
关闭测试虚拟机+启动上课虚拟机+打开浏览器+登录+房间号启动无限宝

我拿手机看,电脑测试
回复

举报

swizzer
发表于 2020-4-10 14:15:44 | 显示全部楼层
a27573 发表于 2020-4-10 14:11
我问一下,你的智量锁库了吗?

是前天的库

我没有更早的版本可用。。。
回复

举报

温馨小屋
头像被屏蔽
发表于 2020-4-10 14:16:41 | 显示全部楼层
暗_黑 发表于 2020-4-10 12:29
BD   关闭文件监控,ATD拦截,无文件被加密(断网测试)

BD这部分加密的问题还挺要命的
回复

举报

tdsskiller
发表于 2020-4-10 14:20:14 | 显示全部楼层
Jirehlov1234 发表于 2020-4-10 08:31
两万多文件还不回滚,实机联网卡巴gg

这个去世太惨了,还好有解密工具。。。
回复

举报

Jerry.Lin
发表于 2020-4-10 14:20:15 | 显示全部楼层
本帖最后由 Jerry.Lin 于 2020-4-10 00:27 编辑

HitmanPro Alert 拦截


  1. Mitigation   LoadLib
  2. Timestamp    2020-04-10T06:19:55

  4. Platform     10.0.17763/x64 v867 06_9e%
  5. PID          4208
  6. WoW          x86
  7. Feature      003D0A361FBF00B6
  8. Application  C:\ProgramData\WINWORD.EXE
  9. Created      2020-04-10T06:17:03
  10. Description  Microsoft Office Word 12

  12. Callee Type  LoadLibrary
  13.              C:\Windows\SYSTEM32\svchost.exe
  14.              0x00400000 (4096 bytes)

  16. DLL injected into PID 924 (4096 bytes)

  18. 00400000  4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00  MZ..............
  19. 00400010  B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00  ........@.......
  20. 00400020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
  21. 00400030  00 00 00 00 00 00 00 00 00 00 00 00 08 01 00 00  ................
  22. 00400040  0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68  ........!..L.!Th
  23. 00400050  69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F  is program canno
  24. 00400060  74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20  t be run in DOS
  25. 00400070  6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00  mode....$.......
  26. 00400080  C0 9F BD 61 84 FE D3 32 84 FE D3 32 84 FE D3 32  ...a...2...2...2
  27. 00400090  07 E2 DD 32 AF FE D3 32 FF E2 DF 32 87 FE D3 32  ...2...2...2...2
  28. 004000A0  D2 E1 C0 32 A8 FE D3 32 E6 E1 C0 32 91 FE D3 32  ...2...2...2...2
  29. 004000B0  84 FE D2 32 D0 FC D3 32 B2 D8 D8 32 E2 FE D3 32  ...2...2...2...2
  30. 004000C0  B2 D8 D9 32 54 FE D3 32 6C E1 D8 32 C8 FE D3 32  ...2T..2l..2...2
  31. 004000D0  6C E1 D9 32 9F FE D3 32 84 FE D3 32 9B FE D3 32  l..2...2...2...2
  32. 004000E0  43 F8 D5 32 85 FE D3 32 52 69 63 68 84 FE D3 32  C..2...2Rich...2
  33. 004000F0  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
  34. 00400100  00 00 00 00 00 00 00 00 50 45 00 00 4C 01 04 00  ........PE..L...
  35. 00400110  73 7C 83 5E 00 00 00 00 00 00 00 00 E0 00 0F 01  s|.^............
  36. 00400120  0B 01 06 00 00 50 0A 00 00 F0 7B 00 00 00 00 00  .....P....{.....
  37. 00400130  15 66 08 00 00 10 00 00 00 60 0A 00 00 00 40 00  .f.......`....@.
  38. 00400140  00 10 00 00 00 10 00 00 04 00 00 00 00 00 00 00  ................
  39. 00400150  04 00 00 00 00 00 00 00 00 50 86 00 00 10 00 00  .........P......
  40. 00400160  00 00 00 00 02 00 00 00 00 00 10 00 00 10 00 00  ................
  41. 00400170  00 00 10 00 00 10 00 00 00 00 00 00 10 00 00 00  ................

  43. Stack Trace
  44. #  Address  Module                   Location
  45. -- -------- ------------------------ ----------------------------------------
  46. 1  7718BDCF KernelBase.dll           LoadLibraryExW +0x14f
  47. 2  77189E51 KernelBase.dll           LoadLibraryW +0x11
  48. 3  2FAE1582 WINWORD.EXE            
  49. 4  2FAE155D WINWORD.EXE            
  50. 5  76B5FE09 kernel32.dll             BaseThreadInitThunk +0x19
  51. 6  7756607D ntdll.dll                RtlGetAppContainerNamedObjectPath +0xed
  52. 7  7756604D ntdll.dll                RtlGetAppContainerNamedObjectPath +0xbd

  54. 8  02CE22E0 wwlib.dll               
  55.             685482c1ad               PUSH         DWORD 0xadc18254
  56.             e8ddc71e00               CALL         0x2eceac7
  57.             6932f41ef2f5             IMUL         ESI, [EDX], 0xf5f21ef4
  58.             6c                       INS          BYTE [ES:EDI], DX
  59.             1d6189a8bb               SBB          EAX, 0xbba88961
  60.             e31e                     JECXZ        0x2ce2316


  63. Loaded Modules (63)
  64. -----------------------------------------------------------------------------
  65. 2FAE0000-2FB37000 WINWORD.EXE (Microsoft Corporation),
  66.                   version: 12.0.4518.1014
  67. ...

  69. 02BA0000-03576000 wwlib.dll (),
  70.                   version:
  71. 74970000-7497F000 WTSAPI32.dll (Microsoft Corporation),
  72.                   version: 10.0.17763.1 (WinBuild.160101.0800)

  74. Process Trace
  75. 1  C:\ProgramData\WINWORD.EXE [4208] 2020-04-10T06:19:54
  76. 2  C:\Windows\explorer.exe [3720] 2020-04-10T06:14:42
  77. 3  C:\Windows\System32\userinit.exe [3632] 2020-04-10T06:14:41 23.9s
  78. 4  C:\Windows\System32\winlogon.exe [676] 2020-04-10T06:14:18
  79.    winlogon.exe
  80. 5  C:\Windows\System32\smss.exe [516] 2020-04-10T06:14:17 569ms
  81.    \SystemRoot\System32\smss.exe 000000ac 00000088
  82. 6  C:\Windows\System32\smss.exe [352] 2020-04-10T06:14:09
  83.    \SystemRoot\System32\smss.exe

  85. Dropped Files

  87. Thumbprints
  88. ad3aeb9fe782257b1395f950bc1e4547582ada319b3dd190b5f73223ac0909d9
复制代码




放行此次漏洞拦截,触发反勒索模块

  1. Mitigation   CryptoGuard
  2. Timestamp    2020-04-10T06:23:46

  4. Platform     10.0.17763/x64 v867 06_9e%
  5. PID          2148
  6. WoW          x86
  7. Application  C:\Windows\SysWOW64\cmd.exe
  8. Created      2018-10-15T03:59:28
  9. Description  Windows 命令处理程序 10

  11. Filename     C:\Windows\SysWOW64\cmd.exe

  13. Detection    Generic.Ransom.C

  15. 1*\Device\HarddiskVolume4\MSOCache\All Users\{90140000-0019-0804-0000-0000000FF1CE}-C\PubLR.cab
  16.    Overwritten L0, Write T8720896 H8720625|^247 #1,2

  18. 2*\Device\HarddiskVolume4\MSOCache\All Users\{90140000-0019-0804-0000-0000000FF1CE}-C\PubLR.cab
  19.    Opened L8720320, Read T8720384|100% H8720320|100%|^4892 #2,1

  21. 3 \Device\HarddiskVolume4\MSOCache\All Users\{90140000-0018-0804-0000-0000000FF1CE}-C\想解密请看此文本.gif
  22.    Created L0, Write T259584 H259540|^10783 #3

  24. 4 \Device\HarddiskVolume4\MSOCache\All Users\{90140000-0018-0804-0000-0000000FF1CE}-C\想解密请看此文本.txt
  25.    Created L0, Write T2560 H2475|^9397 #4

  27. 5 \Device\HarddiskVolume4\MSOCache\All Users\{90140000-0018-0804-0000-0000000FF1CE}-C\PptLR.cab
  28.    Opened, Deleted L42220154 #5

  30. 6 \Device\HarddiskVolume4\MSOCache\All Users\{90140000-0018-0804-0000-0000000FF1CE}-C\PptLR.cab.WannaRen
  31.    Created L0, Write T42220544 H42220154|^219 #6

  33. 7 \Device\HarddiskVolume4\MSOCache\All Users\{90140000-0018-0804-0000-0000000FF1CE}-C\PptLR.cab
  34.    Overwritten L0, Write T42220544 H42220154|^219 #7
  35. ...

  37. 41*\Device\HarddiskVolume4\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\OWOW64WW.cab
  38.    Overwritten L0, Write T23865856 H23865705|^281 #42,43

  40. 42*\Device\HarddiskVolume4\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\OWOW64WW.cab
  41.    Opened L23865400, Read T23865856|100% H23865400|100%|^3142 #43,42



  45. Loaded Modules (48)
  46. -----------------------------------------------------------------------------
  47. 00400000-00C65000 cmd.exe (Microsoft Corporation),
  48.                   Version: 10.0.17763.1
  49. ...

  51. 74AB0000-74AD3000 USERENV.dll (Microsoft Corporation),
  52.                   Version: 10.0.17763.1

  54. Code Injection
  55. 00401000-004A6000  660KB C:\ProgramData\WINWORD.EXE [6020]
  56. 1  C:\ProgramData\WINWORD.EXE [6020] 2020-04-10T06:23:19 1.4s
  57. 2  C:\Windows\explorer.exe [3720] 2020-04-10T06:14:42
  58. 3  C:\Windows\System32\userinit.exe [3632] 2020-04-10T06:14:41 23.9s
  59. 4  C:\Windows\System32\winlogon.exe [676] 2020-04-10T06:14:18
  60.    winlogon.exe
  61. 5  C:\Windows\System32\smss.exe [516] 2020-04-10T06:14:17 569ms
  62.    \SystemRoot\System32\smss.exe 000000ac 00000088
  63. 6  C:\Windows\System32\smss.exe [352] 2020-04-10T06:14:09
  64.    \SystemRoot\System32\smss.exe

  66. Process Trace
  67. 1  C:\Windows\SysWOW64\cmd.exe [2148] 2020-04-10T06:23:20
  68.    cmd.exe
  69. 2  C:\ProgramData\WINWORD.EXE [6020] 2020-04-10T06:23:19 1.4s
  70. 3  C:\Windows\explorer.exe [3720] 2020-04-10T06:14:42
  71. 4  C:\Windows\System32\userinit.exe [3632] 2020-04-10T06:14:41 23.9s
  72. 5  C:\Windows\System32\winlogon.exe [676] 2020-04-10T06:14:18
  73.    winlogon.exe
  74. 6  C:\Windows\System32\smss.exe [516] 2020-04-10T06:14:17 569ms
  75.    \SystemRoot\System32\smss.exe 000000ac 00000088
  76. 7  C:\Windows\System32\smss.exe [352] 2020-04-10T06:14:09
  77.    \SystemRoot\System32\smss.exe

  79. Dropped Files
  80. 1  C:\@WannaRen@.exe
  81.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  82. 2  C:\æƒ3解åˉ†èˉ·çœ‹æ-¤æ–‡æœ¬.txt
  83.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  84. 3  C:\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\OWOW64WW.cab
  85.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  86. 4  C:\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\OWOW64WW.cab.WannaRen
  87.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  88. 5  C:\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\æƒ3解åˉ†èˉ·çœ‹æ-¤æ–‡æœ¬.txt
  89.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  90. 6  C:\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\æƒ3解åˉ†èˉ·çœ‹æ-¤æ–‡æœ¬.gif
  91.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  92. ...

  94. 19 C:\MSOCache\All Users\{90140000-0019-0804-0000-0000000FF1CE}-C\PubLR.cab
  95.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]

  97. Thumbprints
  98. 4936f22d3d39bef09ef743be636de2a417f1c4aa9c48dd0ed497fb4cdecb4aa6
复制代码
回复

举报

K560987
发表于 2020-4-10 14:23:41 | 显示全部楼层
a233 发表于 2020-4-10 13:34
这都没触发反勒索可还行

BD反勒索是最近才加上去的,技术不成熟
回复

举报

tdsskiller
发表于 2020-4-10 14:25:41 | 显示全部楼层
Jerry.Lin 发表于 2020-4-10 09:20
HitmanPro Alert 拦截

这个HIPS的取证很猛啊

评分

参与人数 1人气 +1 收起 理由
BE_HC + 1 HMPA不是HIPS惹,对白利用有一定效果

查看全部评分

回复

举报

K560987
发表于 2020-4-10 14:25:42 | 显示全部楼层
swizzer 发表于 2020-4-10 13:34
可能觉得不是什么大威胁

然而360分析了攻击链还不是被过的彻彻底底。。。

那是360的实验室吧,很多公司都是这样,实验室和产品部门完全分开
回复

举报

a27573
发表于 2020-4-10 14:25:56 | 显示全部楼层
Jerry.Lin 发表于 2020-4-10 14:20
HitmanPro Alert 拦截

赞一个!
回复

举报

下一页 »
1 ...111213141516171819... 37下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-4 09:25 , Processed in 0.101142 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表