--- title: 20240804_WannaCry 分析 tags: - 第一組 - 惡意軟體 --- # 20240804_WannaCry 分析 ## Wanna Cry 分析 Wanna Cry 的行為大致可分為三階段： - 提權 - 文件枚舉 - 加密檔案 #### 解密酬載 Decrypt Payload 密碼：`WNcry@2ol7` - `msg/` - `b.wnry` - `c.wnry` - `r.wnry` - `s.wnry` - `t.wnry` - `taskdl.exe` - `taskse.exe` - `u.wnry` ### 提權 PrivEsc ### 文件枚舉 File Enumuration ### 加密檔案 Encrypt ## Wannacry 流程圖 ``` mermaid graph TD; Wannacry-->RegOpenKey,RegQueryKey:目錄枚舉; RegOpenKey,RegQueryKey:目錄枚舉-->打開C:\Windows目錄; 打開C:\Windows目錄-->打開C:\Windows\System32\wow64.dll,ShareMode:Read,Write; 打開C:\Windows\System32\wow64.dll,ShareMode:Read,Write-->QueryBasicInformationFile:檢查wow64.dll屬性; QueryBasicInformationFile:檢查wow64.dll屬性-->CloseFile:關閉wow64.dll; CloseFile:關閉wow64.dll-->再次打開wow64.dll,ShareMode:Read,Delete; 再次打開wow64.dll,ShareMode:Read,Delete-->CreatFileMapping:創建了wow64.dll的MemoryMapping; CreatFileMapping:創建了wow64.dll的MemoryMapping-->CloseFile:再次關閉wow64.dll; CloseFile:再次關閉wow64.dll-->對所有需要的DLL檔進行以上動作; 對所有需要的DLL檔進行以上動作-->若是有找不到的檔案則回\Windows進行QueryNameInformationFile; 若是有找不到的檔案則回\Windows進行QueryNameInformationFile-->再進行枚舉,直到所有需要的DynamicLinkLibrary都Mapping到Memory ``` - MemoryMapping：將 DynamicLinkLibrary 從硬碟映射到 Memory 讓 wannacry 更快速的讀取(分析、竄改)系統文件，且不用透過 I/O。 https://blog.darkthread.net/blog/run-procmon-long-time/