wanacryptランサムウェアはどのように機能しますか?
目次:
Wanacryptにはワームのような機能があり、これはネットワークを介して拡散しようとすることを意味します。 これを行うには、この脆弱性にパッチが適用されていないすべてのマシンに拡散することを目的として、Eternalblueエクスプロイト(MS17-010)を使用します。
コンテンツインデックス
Wanacryptランサムウェアはどのように機能しますか?
このランサムウェアの注意を引くのは、影響を受けるマシンのローカルネットワーク内を検索するだけでなく、インターネット上のパブリックIPアドレスもスキャンすることです。
これらのアクションはすべて、実行後にramsonware自体がインストールするサービスによって実行されます。 サービスがインストールされて実行されると、他のシステムへの複製プロセスを担当する2つのスレッドが作成されます。
分析では、この分野の専門家がNSAで使用されているものとまったく同じコードをどのように使用するかを観察しました。 唯一の違いは、LSASS(Local Security Authority Subsystem Service)プロセスに自分自身を注入するだけなので、DoublePulsarエクスプロイトを使用する必要がないことです。
LSASSが何であるかを知らない人にとって、これはWindowsセキュリティプロトコルを正しく機能させるプロセスなので、このプロセスは常に実行する必要があります。 ご存知のように、EternalBlueペイロードコードは変更されていません。
既存の分析と比較すると、オペコードがオペコードと同じであることがわかります…
オペコードとは何ですか?
オペコードまたはオペコードは、実行する操作を指定する機械語命令のフラグメントです。
続けて…
そして、このランサムウェアは同じ関数を呼び出して、LSASSプロセスで送信された.dllライブラリを最終的に挿入し、攻撃されたマシンで感染プロセスを再開する「PlayGame」関数を実行します。
カーネルコードのエクスプロイトを使用することにより、マルウェアによって実行されるすべての操作はSYSTEMまたはシステム特権を持ちます。
コンピュータの暗号化を開始する前に、ランサムウェアはシステムに2つのミューテックスが存在することを確認します 。 ミューテックスは相互排除アルゴリズムです。これは、プログラム内の2つのプロセスがそのクリティカルセクション(共有リソースを変更できるコードの一部)にアクセスできないようにするのに役立ちます。
これらの2つのミューテックスが存在する場合、暗号化は実行されません。
'グローバル\ MsWinZonesCacheCounterMutexA'
'グローバル\ MsWinZonesCacheCounterMutexW'
ランサムウェアは、暗号化されたファイルごとに一意のランダムキーを生成します 。 このキーは128ビットであり、AES暗号化アルゴリズムを使用します 。このキーは、ランサムウェアがすべての暗号化ファイルに追加するカスタムヘッダーの公開RSAキーで暗号化されたままになります。
ファイルの復号化は、ファイルで使用されるAESキーの暗号化に使用される公開キーに対応するRSA秘密キーがある場合にのみ可能です。
AESランダムキーは、既知の脆弱性または脆弱性を含まないWindows関数「CryptGenRandom」で生成されるため、現在、攻撃中に使用されるRSA秘密キーを知らずにこれらのファイルを復号化するツールを開発することはできません。
Wanacryptランサムウェアはどのように機能しますか?
このすべてのプロセスを実行するために、ランサムウェアはコンピューター上にいくつかの実行スレッドを作成し、次のプロセスの実行を開始して、ドキュメントの暗号化を実行します。
- 元のファイルを読み取り、拡張子.wnrytを追加してコピーします。ランダムなAES 128キーを作成します。AESAでコピーしたファイルを暗号化します。キーでヘッダーを追加します。
サンプルを含むRSAを発行します。この暗号化されたコピーで元のファイルを上書きします。最後に、拡張子が.wnryの元のファイルの名前を変更します。ランサムウェアが暗号化を終了したディレクトリごとに、同じ2つのファイルが生成されます。
@ Please_Read_Me @.txt
@ WanaDecryptor @.exe
Windows 10でWindows Defenderを使用する主な理由を読むことをお勧めします 。
