楼主: cloaker
收起左侧

[其他相关] WannaRen在虚拟机中成功运行的方法

  [复制链接]
zay365
头像被屏蔽
发表于 2020-4-10 14:11:58 | 显示全部楼层
暗_黑 发表于 2020-4-10 13:40
加密了我的钉钉

你该不会是实机测试的吧
ft-cai
发表于 2020-4-10 14:15:15 | 显示全部楼层
a27573 发表于 2020-4-10 13:35
关闭测试虚拟机+启动上课虚拟机+打开浏览器+登录+房间号启动无限宝

我拿手机看,电脑测试
swizzer
发表于 2020-4-10 14:15:44 | 显示全部楼层
a27573 发表于 2020-4-10 14:11
我问一下,你的智量锁库了吗?

是前天的库

我没有更早的版本可用。。。
温馨小屋
头像被屏蔽
发表于 2020-4-10 14:16:41 | 显示全部楼层
暗_黑 发表于 2020-4-10 12:29
BD   关闭文件监控,ATD拦截,无文件被加密(断网测试)

BD这部分加密的问题还挺要命的
tdsskiller
发表于 2020-4-10 14:20:14 | 显示全部楼层
Jirehlov1234 发表于 2020-4-10 08:31
两万多文件还不回滚,实机联网卡巴gg

这个去世太惨了,还好有解密工具。。。
Jerry.Lin
发表于 2020-4-10 14:20:15 | 显示全部楼层
本帖最后由 Jerry.Lin 于 2020-4-10 00:27 编辑

HitmanPro Alert 拦截


  1. Mitigation   LoadLib
  2. Timestamp    2020-04-10T06:19:55

  3. Platform     10.0.17763/x64 v867 06_9e%
  4. PID          4208
  5. WoW          x86
  6. Feature      003D0A361FBF00B6
  7. Application  C:\ProgramData\WINWORD.EXE
  8. Created      2020-04-10T06:17:03
  9. Description  Microsoft Office Word 12

  10. Callee Type  LoadLibrary
  11.              C:\Windows\SYSTEM32\svchost.exe
  12.              0x00400000 (4096 bytes)

  13. DLL injected into PID 924 (4096 bytes)

  14. 00400000  4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00  MZ..............
  15. 00400010  B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00  ........@.......
  16. 00400020  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
  17. 00400030  00 00 00 00 00 00 00 00 00 00 00 00 08 01 00 00  ................
  18. 00400040  0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21 54 68  ........!..L.!Th
  19. 00400050  69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E 6E 6F  is program canno
  20. 00400060  74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F 53 20  t be run in DOS
  21. 00400070  6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00 00 00  mode....$.......
  22. 00400080  C0 9F BD 61 84 FE D3 32 84 FE D3 32 84 FE D3 32  ...a...2...2...2
  23. 00400090  07 E2 DD 32 AF FE D3 32 FF E2 DF 32 87 FE D3 32  ...2...2...2...2
  24. 004000A0  D2 E1 C0 32 A8 FE D3 32 E6 E1 C0 32 91 FE D3 32  ...2...2...2...2
  25. 004000B0  84 FE D2 32 D0 FC D3 32 B2 D8 D8 32 E2 FE D3 32  ...2...2...2...2
  26. 004000C0  B2 D8 D9 32 54 FE D3 32 6C E1 D8 32 C8 FE D3 32  ...2T..2l..2...2
  27. 004000D0  6C E1 D9 32 9F FE D3 32 84 FE D3 32 9B FE D3 32  l..2...2...2...2
  28. 004000E0  43 F8 D5 32 85 FE D3 32 52 69 63 68 84 FE D3 32  C..2...2Rich...2
  29. 004000F0  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
  30. 00400100  00 00 00 00 00 00 00 00 50 45 00 00 4C 01 04 00  ........PE..L...
  31. 00400110  73 7C 83 5E 00 00 00 00 00 00 00 00 E0 00 0F 01  s|.^............
  32. 00400120  0B 01 06 00 00 50 0A 00 00 F0 7B 00 00 00 00 00  .....P....{.....
  33. 00400130  15 66 08 00 00 10 00 00 00 60 0A 00 00 00 40 00  .f.......`....@.
  34. 00400140  00 10 00 00 00 10 00 00 04 00 00 00 00 00 00 00  ................
  35. 00400150  04 00 00 00 00 00 00 00 00 50 86 00 00 10 00 00  .........P......
  36. 00400160  00 00 00 00 02 00 00 00 00 00 10 00 00 10 00 00  ................
  37. 00400170  00 00 10 00 00 10 00 00 00 00 00 00 10 00 00 00  ................

  38. Stack Trace
  39. #  Address  Module                   Location
  40. -- -------- ------------------------ ----------------------------------------
  41. 1  7718BDCF KernelBase.dll           LoadLibraryExW +0x14f
  42. 2  77189E51 KernelBase.dll           LoadLibraryW +0x11
  43. 3  2FAE1582 WINWORD.EXE            
  44. 4  2FAE155D WINWORD.EXE            
  45. 5  76B5FE09 kernel32.dll             BaseThreadInitThunk +0x19
  46. 6  7756607D ntdll.dll                RtlGetAppContainerNamedObjectPath +0xed
  47. 7  7756604D ntdll.dll                RtlGetAppContainerNamedObjectPath +0xbd

  48. 8  02CE22E0 wwlib.dll               
  49.             685482c1ad               PUSH         DWORD 0xadc18254
  50.             e8ddc71e00               CALL         0x2eceac7
  51.             6932f41ef2f5             IMUL         ESI, [EDX], 0xf5f21ef4
  52.             6c                       INS          BYTE [ES:EDI], DX
  53.             1d6189a8bb               SBB          EAX, 0xbba88961
  54.             e31e                     JECXZ        0x2ce2316


  55. Loaded Modules (63)
  56. -----------------------------------------------------------------------------
  57. 2FAE0000-2FB37000 WINWORD.EXE (Microsoft Corporation),
  58.                   version: 12.0.4518.1014
  59. ...

  60. 02BA0000-03576000 wwlib.dll (),
  61.                   version:
  62. 74970000-7497F000 WTSAPI32.dll (Microsoft Corporation),
  63.                   version: 10.0.17763.1 (WinBuild.160101.0800)

  64. Process Trace
  65. 1  C:\ProgramData\WINWORD.EXE [4208] 2020-04-10T06:19:54
  66. 2  C:\Windows\explorer.exe [3720] 2020-04-10T06:14:42
  67. 3  C:\Windows\System32\userinit.exe [3632] 2020-04-10T06:14:41 23.9s
  68. 4  C:\Windows\System32\winlogon.exe [676] 2020-04-10T06:14:18
  69.    winlogon.exe
  70. 5  C:\Windows\System32\smss.exe [516] 2020-04-10T06:14:17 569ms
  71.    \SystemRoot\System32\smss.exe 000000ac 00000088
  72. 6  C:\Windows\System32\smss.exe [352] 2020-04-10T06:14:09
  73.    \SystemRoot\System32\smss.exe

  74. Dropped Files

  75. Thumbprints
  76. ad3aeb9fe782257b1395f950bc1e4547582ada319b3dd190b5f73223ac0909d9
复制代码




放行此次漏洞拦截,触发反勒索模块

  1. Mitigation   CryptoGuard
  2. Timestamp    2020-04-10T06:23:46

  3. Platform     10.0.17763/x64 v867 06_9e%
  4. PID          2148
  5. WoW          x86
  6. Application  C:\Windows\SysWOW64\cmd.exe
  7. Created      2018-10-15T03:59:28
  8. Description  Windows 命令处理程序 10

  9. Filename     C:\Windows\SysWOW64\cmd.exe

  10. Detection    Generic.Ransom.C

  11. 1*\Device\HarddiskVolume4\MSOCache\All Users\{90140000-0019-0804-0000-0000000FF1CE}-C\PubLR.cab
  12.    Overwritten L0, Write T8720896 H8720625|^247 #1,2

  13. 2*\Device\HarddiskVolume4\MSOCache\All Users\{90140000-0019-0804-0000-0000000FF1CE}-C\PubLR.cab
  14.    Opened L8720320, Read T8720384|100% H8720320|100%|^4892 #2,1

  15. 3 \Device\HarddiskVolume4\MSOCache\All Users\{90140000-0018-0804-0000-0000000FF1CE}-C\想解密请看此文本.gif
  16.    Created L0, Write T259584 H259540|^10783 #3

  17. 4 \Device\HarddiskVolume4\MSOCache\All Users\{90140000-0018-0804-0000-0000000FF1CE}-C\想解密请看此文本.txt
  18.    Created L0, Write T2560 H2475|^9397 #4

  19. 5 \Device\HarddiskVolume4\MSOCache\All Users\{90140000-0018-0804-0000-0000000FF1CE}-C\PptLR.cab
  20.    Opened, Deleted L42220154 #5

  21. 6 \Device\HarddiskVolume4\MSOCache\All Users\{90140000-0018-0804-0000-0000000FF1CE}-C\PptLR.cab.WannaRen
  22.    Created L0, Write T42220544 H42220154|^219 #6

  23. 7 \Device\HarddiskVolume4\MSOCache\All Users\{90140000-0018-0804-0000-0000000FF1CE}-C\PptLR.cab
  24.    Overwritten L0, Write T42220544 H42220154|^219 #7
  25. ...

  26. 41*\Device\HarddiskVolume4\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\OWOW64WW.cab
  27.    Overwritten L0, Write T23865856 H23865705|^281 #42,43

  28. 42*\Device\HarddiskVolume4\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\OWOW64WW.cab
  29.    Opened L23865400, Read T23865856|100% H23865400|100%|^3142 #43,42



  30. Loaded Modules (48)
  31. -----------------------------------------------------------------------------
  32. 00400000-00C65000 cmd.exe (Microsoft Corporation),
  33.                   Version: 10.0.17763.1
  34. ...

  35. 74AB0000-74AD3000 USERENV.dll (Microsoft Corporation),
  36.                   Version: 10.0.17763.1

  37. Code Injection
  38. 00401000-004A6000  660KB C:\ProgramData\WINWORD.EXE [6020]
  39. 1  C:\ProgramData\WINWORD.EXE [6020] 2020-04-10T06:23:19 1.4s
  40. 2  C:\Windows\explorer.exe [3720] 2020-04-10T06:14:42
  41. 3  C:\Windows\System32\userinit.exe [3632] 2020-04-10T06:14:41 23.9s
  42. 4  C:\Windows\System32\winlogon.exe [676] 2020-04-10T06:14:18
  43.    winlogon.exe
  44. 5  C:\Windows\System32\smss.exe [516] 2020-04-10T06:14:17 569ms
  45.    \SystemRoot\System32\smss.exe 000000ac 00000088
  46. 6  C:\Windows\System32\smss.exe [352] 2020-04-10T06:14:09
  47.    \SystemRoot\System32\smss.exe

  48. Process Trace
  49. 1  C:\Windows\SysWOW64\cmd.exe [2148] 2020-04-10T06:23:20
  50.    cmd.exe
  51. 2  C:\ProgramData\WINWORD.EXE [6020] 2020-04-10T06:23:19 1.4s
  52. 3  C:\Windows\explorer.exe [3720] 2020-04-10T06:14:42
  53. 4  C:\Windows\System32\userinit.exe [3632] 2020-04-10T06:14:41 23.9s
  54. 5  C:\Windows\System32\winlogon.exe [676] 2020-04-10T06:14:18
  55.    winlogon.exe
  56. 6  C:\Windows\System32\smss.exe [516] 2020-04-10T06:14:17 569ms
  57.    \SystemRoot\System32\smss.exe 000000ac 00000088
  58. 7  C:\Windows\System32\smss.exe [352] 2020-04-10T06:14:09
  59.    \SystemRoot\System32\smss.exe

  60. Dropped Files
  61. 1  C:\@WannaRen@.exe
  62.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  63. 2  C:\æƒ3解åˉ†èˉ·çœ‹æ-¤æ–‡æœ¬.txt
  64.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  65. 3  C:\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\OWOW64WW.cab
  66.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  67. 4  C:\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\OWOW64WW.cab.WannaRen
  68.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  69. 5  C:\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\æƒ3解åˉ†èˉ·çœ‹æ-¤æ–‡æœ¬.txt
  70.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  71. 6  C:\MSOCache\All Users\{90140000-0011-0000-0000-0000000FF1CE}-C\æƒ3解åˉ†èˉ·çœ‹æ-¤æ–‡æœ¬.gif
  72.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]
  73. ...

  74. 19 C:\MSOCache\All Users\{90140000-0019-0804-0000-0000000FF1CE}-C\PubLR.cab
  75.      Dropped by \Device\HarddiskVolume4\Windows\SysWOW64\cmd.exe [2148]

  76. Thumbprints
  77. 4936f22d3d39bef09ef743be636de2a417f1c4aa9c48dd0ed497fb4cdecb4aa6
复制代码
K560987
发表于 2020-4-10 14:23:41 | 显示全部楼层
a233 发表于 2020-4-10 13:34
这都没触发反勒索可还行

BD反勒索是最近才加上去的,技术不成熟
tdsskiller
发表于 2020-4-10 14:25:41 | 显示全部楼层

这个HIPS的取证很猛啊

评分

参与人数 1人气 +1 收起 理由
BE_HC + 1 HMPA不是HIPS惹,对白利用有一定效果

查看全部评分

K560987
发表于 2020-4-10 14:25:42 | 显示全部楼层
swizzer 发表于 2020-4-10 13:34
可能觉得不是什么大威胁

然而360分析了攻击链还不是被过的彻彻底底。。。

那是360的实验室吧,很多公司都是这样,实验室和产品部门完全分开
a27573
发表于 2020-4-10 14:25:56 | 显示全部楼层

赞一个!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 21:34 , Processed in 0.106125 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表