Reversing WannaCry Part 1 - Finding the killswitch and unpacking the malware in #Ghidra

stacksmashing

27 Mar 201922:31

Summary

TLDRDans cette série d'analyse, nous explorons le fonctionnement du ransomware **WannaCry**, qui a causé un chaos mondial en 2017. À travers une analyse détaillée avec l'outil de rétro-ingénierie **Ghidra**, nous examinons son comportement initial, y compris la propagation, la création de services cachés et l'encryption des fichiers. Nous découvrons également le fameux **Kill Switch** et analysons les ressources embarquées, telles qu'un fichier ZIP crypté contenant des informations essentielles pour l'attaque. Ce contenu fournit une introduction approfondie au reverse engineering des malwares et à la compréhension des ransomwares comme WannaCry.

Takeaways

😀 WannaCry était une attaque par ransomware qui a causé des ravages mondiaux en mai 2017, infectant plus de 300 000 ordinateurs.
😀 Des entreprises telles que Boeing, Hitachi, TSMC et Renault ont été touchées par WannaCry, mettant en évidence son impact à grande échelle.
😀 Dans cette vidéo, l'accent est mis sur l'analyse du comportement de WannaCry, et les vidéos suivantes se concentreront sur les modules ransomware et worm.
😀 Le ransomware WannaCry s'auto-diffuse normalement, mais dans cette démonstration, il est exécuté manuellement sur une machine virtuelle Windows 10 pour en observer le fonctionnement.
😀 Après l'exécution de WannaCry, les photos et fichiers importants sont cryptés, et une fenêtre de demande de rançon apparaît avec un compte à rebours de 7 jours.
😀 L'analyse du binaire de WannaCry dans Ghidra révèle plusieurs fonctions non nommées et un processus de vérification de l'URL du kill switch pour déterminer si l'attaque continue.
😀 Le domaine kill switch, découvert et enregistré par Marcus Hutchins, permet de neutraliser le ransomware si l'URL est atteinte.
😀 Si l'URL du kill switch échoue, WannaCry crée un service Windows qui démarre automatiquement le programme à chaque démarrage du système.
😀 Un des fichiers exécutables embarqués dans WannaCry est une ressource cryptée, extraite et exécutée pour démarrer une nouvelle instance de l'attaque avec un nom de fichier aléatoire.
😀 Lors de l'exécution du fichier, WannaCry tente de créer un répertoire caché dans `C:\ProgramData`, y installe son exécutable et le lance comme service pour garantir une exécution persistante.
😀 Le fichier décrypté à partir de WannaCry contient des informations sur des domaines Tor, ce qui laisse penser que l'attaque pourrait être liée à un réseau Tor pour échapper à la détection.

Q & A

Qu'est-ce que WannaCry et quand a-t-il frappé ?
-WannaCry est une attaque par ransomware qui a provoqué un chaos mondial en mai 2017, infectant plus de 300 000 ordinateurs à travers le monde. Elle a affecté des entreprises telles que Boeing, Hitachi, TSMC et Renault.
Comment WannaCry se propage-t-il normalement ?
-WannaCry se propage normalement automatiquement, mais dans la démonstration, l'auteur lance le programme manuellement sur une machine virtuelle pour illustrer son comportement, en l'exécutant en tant qu'administrateur.
Quel est l'objectif principal de WannaCry lorsqu'il infecte un ordinateur ?
-L'objectif principal de WannaCry est de crypter les fichiers de la victime et d'afficher une demande de rançon, informant l'utilisateur qu'il a sept jours pour payer avant que ses fichiers ne soient définitivement perdus.
Qu'est-ce que le 'kill switch' de WannaCry et comment a-t-il fonctionné ?
-Le 'kill switch' de WannaCry est un domaine URL qui, si atteint, arrête l'attaque. Il a été découvert par Marcus Hutchins, un chercheur en sécurité, qui a enregistré le domaine sans savoir qu'il stopperait le malware.
Comment le fichier binaire de WannaCry est-il analysé dans la vidéo ?
-Le fichier binaire de WannaCry est importé et analysé avec Ghidra. L'analyse commence par l'examen de la fonction principale du programme, suivie de l'identification de chaînes de caractères suspectes et d'appels à des fonctions telles que 'InternetOpen'.
Quel est le rôle de la fonction 'create_wannacry_service' dans WannaCry ?
-La fonction 'create_wannacry_service' crée un service Windows nommé 'Microsoft Security Center' qui est configuré pour se lancer automatiquement au démarrage de la machine et avec des permissions élevées, assurant que le malware reste actif.
Quelles ressources malveillantes sont incluses dans le fichier 1831 ?
-Le fichier 1831 contient un autre exécutable malveillant, nommé 'taskskill.exe', qui est extrait et exécuté par le binaire principal. Ce fichier crée un répertoire caché sur la machine et y place des exécutables supplémentaires.
Comment WannaCry utilise-t-il des chaînes aléatoires basées sur le nom de l'ordinateur ?
-WannaCry génère des chaînes aléatoires basées sur le nom de l'ordinateur de la victime pour nommer ses fichiers et répertoires, ajoutant ainsi une couche d'obfuscation pour éviter d'être facilement détecté.
Pourquoi WannaCry écrit-il un fichier dans le répertoire 'ProgramData' ?
-WannaCry crée un répertoire caché et y place ses fichiers malveillants. Il utilise ce répertoire comme une zone d'installation discrète, rendant difficile la détection du malware par l'utilisateur.
Que contient le fichier zip extrait du fichier 1831 et quel est son rôle ?
-Le fichier zip extrait du fichier 1831 contient plusieurs éléments : une image de fond pour la demande de rançon, un fichier texte avec le message de rançon, et un fichier contenant des liens vers des domaines du réseau TOR, ainsi qu'un lien de téléchargement pour TOR lui-même, utilisé pour anonymiser les paiements.