利用互斥体阻断想哭蠕虫,实现联网升级

海航云安全 技术 2017年5月16日发布
Favorite收藏

导语:WanaCry想哭蠕虫肆虐,在全球范围内爆发。集团拥有数量巨大的终端用户,在经历断网升级之痛后的总结分析过程中,海航云安全团队发现了利用病毒互斥体实现蠕虫阻断,支持用户联网升级的有效方法。

WanaCry想哭蠕虫肆虐,在全球范围内爆发。集团拥有数量巨大的终端用户,在经历断网升级之痛后的总结分析过程中,海航云安全团队发现了利用病毒互斥体实现蠕虫阻断,支持用户联网升级的有效方法。

0x1 WannaCry 2.0变种蠕虫抽样分析样本信息

图片 1.png

 

0x2蠕虫逻辑分析

病毒WinMain函数的控制流如下,在执行的过程中,病毒会释放一些资源文件,用于加密文件或与tor服务器联系:

 

图片 2.png

 

病毒程序在0x00401F5D处,释放tasksche.exe等恶意资源文件,但并未执行。如下图所示:

图片 3.png

在地址0x00401EFF处,病毒程序创建一个名为MsWinZonesCacheCounterMutexA的互斥体。为了阻止运行多个实例,病毒运行的时候会检查该互斥体,如果该互斥体存在,那么病毒就认为已经有另一个病毒实例在运行了,于是就阻塞在这里等待不再继续执行了。运行流程如下图所示:

图片 4.png

0x3病毒阻止方式

只需要在病毒加载之前,先获取到名为MsWinZonesCacheCounterMutexA的互斥体,就可以阻止病毒运行。

例如,在powershell中,运行如下命令:

$mutex = New-Object -TypeName System.Threading.Mutex($true, "MsWinZonesCacheCounterMutexA", [ref]$false)

 

我们做了一个测试,如下图,可以看到:病毒已经释放资源,但测试文档1并没有被加密。只要保持名为MsWinZonesCacheCounterMutexA的互斥体存在,病毒恶意代码就会被挂起暂时不再继续执行进行加密和传播。

图片 5.png

可以使用该方法实现免疫功能,之后就可以联网进行补丁升级。实现自动化工具也非常简单,源代码也在此一并发布供大家参考。

下载地址:

http://aq.eking-tech.com/HNACloudWannaCryMutex.rar
本文为 海航云安全 授权发布,如若转载,请注明原文地址: http://www.4hou.com/technology/4793.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论