本文讲的是
利用互斥体阻断想哭蠕虫,实现联网升级,
WanaCry想哭蠕虫肆虐,在全球范围内爆发。集团拥有数量巨大的终端用户,在经历断网升级之痛后的总结分析过程中,海航云安全团队发现了利用病毒互斥体实现蠕虫阻断,支持用户联网升级的有效方法。
0x1 WannaCry 2.0变种蠕虫抽样分析样本信息
0x2蠕虫逻辑分析
病毒WinMain函数的控制流如下,在执行的过程中,病毒会释放一些资源文件,用于加密文件或与tor服务器联系:
病毒程序在0x00401F5D处,释放tasksche.exe等恶意资源文件,但并未执行。如下图所示:
在地址0x00401EFF处,病毒程序创建一个名为MsWinZonesCacheCounterMutexA的互斥体。为了阻止运行多个实例,病毒运行的时候会检查该互斥体,如果该互斥体存在,那么病毒就认为已经有另一个病毒实例在运行了,于是就阻塞在这里等待不再继续执行了。运行流程如下图所示:
0x3病毒阻止方式
只需要在病毒加载之前,先获取到名为MsWinZonesCacheCounterMutexA的互斥体,就可以阻止病毒运行。
例如,在powershell中,运行如下命令:
$mutex = New-Object -TypeName System.Threading.Mutex($true, "MsWinZonesCacheCounterMutexA", [ref]$false)
我们做了一个测试,如下图,可以看到:病毒已经释放资源,但测试文档1并没有被加密。只要保持名为MsWinZonesCacheCounterMutexA的互斥体存在,病毒恶意代码就会被挂起暂时不再继续执行进行加密和传播。
可以使用该方法实现免疫功能,之后就可以联网进行补丁升级。实现自动化工具也非常简单,源代码也在此一并发布供大家参考。
原文发布时间为:2017年5月16日
本文作者:海航云安全
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
