Reversing WannaCry Part 2 - Diving into the malware with #Ghidra

stacksmashing

2 Feb 202015:48

Summary

TLDRCette vidéo analyse en profondeur le ransomware WannaCry, en détaillant ses mécanismes internes. L'auteur explore comment le malware crée un service, extrait des ressources intégrées, génère des adresses Bitcoin et effectue des opérations cryptographiques complexes. L'accent est mis sur la décryption des fichiers à l'aide de clés RSA et AES, ainsi que sur la manipulation de DLLs pour exécuter le code malveillant. L'analyse offre un aperçu technique de la manière dont WannaCry chiffre et déchiffre des données, tout en mettant en lumière les processus cachés et les clés utilisées pour sécuriser les communications malveillantes.

Takeaways

😀 Le script analyse le malware WannaCry et ses processus d'exécution, notamment la tentative d'accès au 'kill switch'.
😀 Si le kill switch est accessible, WannaCry se termine immédiatement, sinon il poursuit son exécution et installe des services.
😀 WannaCry crée un service Windows 'Microsoft Security Center' pour pointer vers l'exécutable WannaCry.
😀 L'exécutable WannaCry s'auto-copie dans un répertoire caché et crée un service pour exécuter cette copie de manière masquée.
😀 Le fichier intégré '1831' est extrait et contient divers fichiers, dont des fichiers Excel et des traductions dans plusieurs langues.
😀 L'analyse continue avec l'extraction de trois adresses Bitcoin qui sont utilisées de manière aléatoire pour la communication du malware.
😀 La décompilation du code révèle des appels à des fonctions C++ avec des données non reconnues, suggérant une mise en œuvre de cryptographie complexe.
😀 Le malware charge une clé RSA intégrée, qu'il utilise pour déchiffrer des données et générer une clé AES.
😀 Une fois la clé AES générée, elle est utilisée pour déchiffrer une partie du fichier WannaCry (T.wannaCry), et le code essaie de restaurer des DLL cryptées.
😀 Le malware crée des threads pour manipuler des fichiers et tenter de déchiffrer des fichiers à l'aide de clés privées et publiques générées de manière dynamique, suggérant un système de cryptage de fichiers ciblés.

Q & A

Quel est le rôle du kill switch dans le malware WannaCry ?
-Le kill switch est un mécanisme intégré dans WannaCry qui permet au logiciel de s'arrêter si une connexion à une URL spécifique réussit. Si ce kill switch est activé, le programme termine immédiatement son exécution.
Qu'est-ce que la fonction 'select and write Bitcoin address' dans le code de WannaCry ?
-Cette fonction sélectionne aléatoirement une adresse Bitcoin à partir d'une liste d'adresses intégrées dans le malware, puis l'écrit dans le fichier WannaCry pour l'utiliser dans ses activités de ransomwares.
Comment le malware WannaCry utilise-t-il les clés RSA intégrées ?
-Le malware charge une clé RSA intégrée à partir du fichier WannaCry et l'utilise pour déchiffrer des données cryptées, ce qui permet ensuite d'effectuer des opérations comme la génération de clés AES nécessaires à la décryption de fichiers.
Quel est l'objectif de la fonction 'import RSA key' ?
-La fonction 'import RSA key' sert à importer une clé RSA, soit à partir d'un fichier, soit à partir d'une clé intégrée dans le malware. Cela permet ensuite de déchiffrer des parties du malware, comme la clé AES utilisée pour déchiffrer les fichiers ciblés.
Pourquoi le code de WannaCry génère-t-il un contexte crypto ?
-Le contexte crypto est généré pour initialiser les paramètres nécessaires à l'exécution de fonctions cryptographiques, telles que la génération de clés ou le déchiffrement des données, ce qui est essentiel pour le fonctionnement de l'attaque ransomware.
Comment fonctionne la décryption du fichier T.wannacry dans le malware ?
-Le malware utilise une clé RSA pour déchiffrer 256 octets du fichier T.wannacry, qui sont ensuite utilisés comme clé AES pour déchiffrer le reste du fichier et obtenir un DLL nécessaire à l'exécution du ransomware.
Que fait le malware après avoir décrypté le DLL intégré dans T.wannacry ?
-Après avoir décrypté le DLL, le malware charge le DLL en mémoire et appelle ses fonctions, ce qui lui permet de poursuivre l'exécution de l'attaque, notamment en établissant des connexions et en chiffrant les fichiers des victimes.
Qu'est-ce que la fonction 'init crypto function pointers' dans le malware ?
-Cette fonction initialise des pointeurs vers des fonctions cryptographiques nécessaires à la manipulation de clés et à l'exécution de décryptages, garantissant ainsi que les opérations cryptographiques puissent être réalisées correctement tout au long du processus d'infection.
Pourquoi le malware utilise-t-il des mutex et quels sont leurs rôles ?
-Les mutex sont utilisés pour éviter que plusieurs instances du malware ne s'exécutent simultanément. Ils permettent de verrouiller certaines ressources système, assurant ainsi qu'une seule instance du ransomware puisse s'exécuter à la fois sur la machine infectée.
Comment le malware génère-t-il les clés de chiffrement pour le ransomware ?
-Le malware génère des paires de clés RSA et AES. La clé publique RSA est utilisée pour chiffrer la clé privée, tandis que la clé AES est utilisée pour chiffrer les fichiers des victimes. Ce mécanisme de clé publique/privée permet à l'attaquant de maintenir le contrôle sur les clés nécessaires pour déchiffrer les fichiers.