机窝安全--Petya勒索病毒的一次详细分析之旅

0x0 写在前面[出自:jiwo.org]
新人一枚，注册看雪好多年了，第一次发分析贴，有很多不足，如果发现错误，请大家多加指点。
Petya勒索病毒在6月底爆发，然后各大安全公司都发出了相关的报告，但是出于对该样本的兴趣，以及想了解更多
关于该样本的技术细节，就尝试进行了一次详细分析，希望这个报告可以帮助到一些想自己动手分析该样本的同学们。

下面就是详细的分析流程：
0x1 概述
样本名：PetYa
MD5：71b6a493388e7d0b40c83ce903bc6b04
分析环境及工具：winXp sp3、IDA6.8、吾爱OD1.1

0x2、相关文件
PetYa.dll：样本主体
X.tmp :样本释放pe文件，用于提取本机账户密码的工具
Dllhost.dat：样本释放的pe文件，用于远程执行命令

0x3、行为预览
1、进程自身提权、检测杀软
2、拷贝自身代码到堆内存执行，并卸载自身主模块，躲避内存扫描
3、加密MBR引导扇区数据，篡改MBR代码
4、创建重启计划任务
5、释放密码抓取以及远程命令执行工具
6、通过多种方式进行传播自身以及远程执行
7、加密磁盘指定格式的文件数据，只加密固定磁盘，不对可移动存储设备加密，通过生成AES128密钥加密文件数据、然后用样本内置的RSA公钥加密AES密钥
8、系统重启后加密NTFS文件系统的MFT表

0x4、报告正文

样本介绍：
该样本为一个DLL文件，有一个导出序号为1的函数，该函数为样本整个行为的入口。

分析过程：
1、提升进程权限、检查当前运行的进程、打开自身pe，读取自身pe数据以及保存自身文件信息

（1）首先需要写个dllload加载该样本并且调用1号导出函数：

（2）提升进程权限，如果提升成功则保存到一个全局变量作为标记：

（3）遍历当期进程列表，判断是否有预期的3个进程在运行，该样本通过自定义的算法将进程字符串计算后得出一个DWORD数值，
然后与事先计算好的3个进程名对应的DWORD数值进行比较，判断是否有这三个进程在运行：

经过分析这3个DWORD数值分别对应杀软：
0x2E214B44：卡巴斯基
0x6403527E/651B3005：诺顿

（4）读取自身数据到堆buffer，并且保存buffer首地址以及文件大小到全局变量：

2、拷贝自身pe数据到堆buffer中，并且修复重定位，然后流程转移到堆中执行代码，接着卸载掉样本自身的主模块，
删除自身pe文件，然后再次调用导出函数1，这么做是为了躲避杀软的内存扫描

（1）申请堆空间，拷贝自身代码，修复重定位，流程转移：

（2）卸载自身主模块，删除自身文件然后调用导出函数1：

3、调用WSAStartUp初始化，检查c：\\windows目录是否存在自身样本文件，如果存在则退出进程：
（1）初始化全局socket：

（2）检查c:\\windows目录下是否有样本自身的文件，如果存在则结束进程，不存在则创建文件：

4、篡改硬盘mbr代码：

（1）如果debug权限提升成功，则进行篡改mbr：

（2）打开c盘驱动设备，获取磁盘信息得到扇区大小，然后根据该大小乘以10申请buffer，将buffer写入到第二个扇区中：

（3）判断卡巴斯基进程是否存在如果存在则不执行mbr篡改：

（4）获取系统所在的盘符，然后查询该盘符对应的物理磁盘驱动器编号：

4.1）获取系统路径：

4.2）覆盖后得到系统所在盘符的符号链接：

4.3）打开系统盘符号链接，获取该盘所在的物理磁盘编号，然后将该编号数值转为字符串：

4.4）拼接出完整的物理磁盘符号链接。拷贝到参数指向的buffer内，作为传出数据：

（5）检查\\.\PhysicalDrive0磁盘设备的分区类型是否为MBR，如果不是则不执行篡改代码：

磁盘分区类型：

（6）生成60个字节的随机数，然后按字节取余0x3A，得出的值作为一个全局数组的下标，用该下标访问，拼接出一个疑似序列号的字符串：

最终生成的序列号：

（7）读取PhysicalDrive起始扇区的mbr引导代码进行异或加密：

加密前的起始扇区数据：

异或加密后的数据：

接着将一个大小为0x200的栈buffer全部初始化为0x7：

然后分别生成了两个32个字节和8字节的随机数，这两个随机数分别是salsa20算法的key以及iv，在MBR代码里面会运用到Key和iv来进行MFT加密：

接着拷贝了一串字符串到栈buffer里，这段字符串为比特币钱包地址：

（8）申请分别申请两块内存，大小分别是0x200和0x22B1，然后分别拷贝样本自身的mbr代码到这两个buffer内：

（9）循环写入样本的mbr代码，长度为19个扇区：

篡改前的代码：

篡改后的代码：

（10）然后将之前通过60字节随机数当做下标生成的序列号字符串、以及用来加密MFT的32字节的key和8字节的iv、

还有样本内置的字符串数据（经后面的分析得知该串为比特币钱包）写入第32个扇区：

（11）将之前初始化全是0x7的buffer写入第33个扇区：

（12）将加密后的起始扇区mbr引导代码写入第34个扇区：

5、创建重启的任务计划：

该任务计划是在样本运行之后一个小时进行重启：

6、样本自身的传播与远程执行首先该样本通过三种途径传播自身：
（1）通过局域网勘测，检测一些可以访问的内网ip并且保存起来，然后对这些ip进行传播自身并且远程执行自身
（2）通过windows远程桌面的登录凭据记录，获取这些凭据来进行传播自身以及远程执行
（3）通过（1）步骤获取到的ip地址，利用永恒之蓝漏洞进程传播

远程执行的方式：
样本通过WNetAddConnection2函数连接远程主机，然后将自身pe写入到远程主机的c:\windows目录接下来通过两种方式执行：
通过资源中释放出来的psexec的远程命令执行工具去运行rundll32.exe ，通过该系统exe加载自身dll并且执行导出函数1
通过wimc运行rundll32.exe ，通过该系统exe加载自身dll并且执行导出函数1

（1）创建线程，进行可攻击ip的勘测，首先样本首先会调用同一个函数初始化两个0x34大小的结构，接下来会对该结构进行分析说明：

结构初始化函数：

经过分析还原出如下结构体：

调用该函数初始化的结构体，作用是用来保存一些信息，这些信息用来后续的自身传播以及远程执行，接下来经过实例来说明该结构的作用：

1.1）首先样本拿到了之前初始化好的结构，然后调用函数，参数分别是一个ip地址、然后是一个常量值、接下来就是结构的首地址，
该函数的目的是要将参数1的字符串数据添加到参数3的结构中：

1.2）10006FC7函数分析：该函数将参数1的字符串拷贝到栈内，然后调用函数10007298，

参数分别是结构首地址、拷贝到栈内的字符串、以及外面参数2的常量值：

1.3）10007298函数分析，由于该结构内有临界区对象，造成idaF5错乱，所以下面贴出反汇编代码
首先使用结构中的临界区对象进行同步，然后判断要添加的字符串是否已经存在于结构中，如果不存在则添加：

接下来判断m_pppPointerArray数组的当前下标是否已经超出最大值（m_IndexRange）如果超出则不添加：

然后申请8字节大小的堆内存，如果申请成功，则将该内存首地址根据m_CurrentIndex下标保存在m_pppPointerArray数组中，并且这个堆内存是算是个二级指针：

然后再次申请堆内存，大小为结构中的m_remote_buffer_size成员，这次申请的堆内存是用来保存参数2的字符串，
如果申请成功，则将该段内存的首地址保存在上一步骤中申请的8字节堆内存的首地址处：

然后将参数3的常量值，这里暂时看作为flag，将这个常量值保存在第一次申请的8个字节堆内存首地址+4处：

接着拷贝参数2的字符串到第二次申请的堆buffer中：

到此一个新的信息就添加完毕了，接下来用od调试一下上述的过程，
此处调用10007298函数进行将参数字符串的信息添加到结构中：

参数：

接下来在内存中查看该结构的分布情况：

根据上面静态分析添加远程传播执行所需信息的过程，首先m_pppPointerArray中保存了一个8字节大小的堆buffer地址：

然后继续查看这个8字节大小的buffer：

继续查看第二次申请的buffer：

可以看出该buffer保存了参数中传进来的ip地址信息。

tag_remote_penetration_info结构分析总结：该样本中大量运用了这个结构，该结构用来保存各种样本后续传播感染所需要的信息，
经过后面的分析已知的信息有：后续代码勘测到可以攻击的内网ip以及远程桌面登录的凭据的TagetName以及账户名和密码。

（2）获取本机NetBios名称，以及回环地址、loaclhost等字符串信息拷贝到tag_remote_penetration_info结构中：

（3）获取本机网络适配器信息链表，遍历该链表将所有适配器对应的ip地址以及dhcp服务器地址保存在tag_remote_penetration_info结构中：

（4）检查当前系统是否是域控制器或者是Server，如果是则枚举dhcp内网池中的ip地址，保存在tag_remote_penetration_info结构中：

（5）计算出本机ip的ip段范围，例如本机ip为192.168.1.111，则计算的范围就是192.168.1.0 - 192.168.1.255:，计算出这个范围后创建线程，
该线程尝试使用socket连接本机ip范围的所有ip地址，连接端口为445和139，如果可以连通，则将这些ip地址全部保存在tag_remote_penetration_info中，
该步骤是在为后面利用永恒之蓝漏洞攻击进行环境勘测：

（6）接着死循环分别调用函数来进一步获取可攻击的目标：

上述的各步骤勘测出的一些ip全部都加到tag_remote_penetration_info结构中，

该结构也就充当了一个可感染的ip列表，之后的远程传播以及执行代码则会用到这个ip列表。

（7）加载1号资源，解密资源数据为一个pe文件，接着释放并执行该pe文件，这个程序是类似mimikatz的系统密码抓取工具，并且该工具的输出进行了管道重定向，
它会向命令行参数内带的管道进行输出系统的账号密码。接下来通过guid构造出一个管道名，然后创建该mimikatz进程，命令行参数为构造的管道名，并且同时创建线程，
等待mimikatz线程连接该管道进行与mimikatz进程的通信：

创建进程：

创建线程：

（8）加载3号资源，解密资源数据，3号资源保存的pe数据为psexec远程命令执行工具：

（9）新申请一个局部tag_remote_penetration_info结构：

（10）枚举系统凭据，并且将TERMSRV类型，也就是远程桌面登录的凭据过滤出来，保存其TargetName以及远程登录的系统账户密码，
TargetName保存在局部tag_remote_penetration_info结构中，然后账户密码保存在另一个全局tag_remote_penetration_info结构中：

（11）接下来程序将利用远程桌面的登录凭据尝试远程连接主机，进行传播自身，并且通过wmic或psecex进行远程执行，
而且之前获取的可攻击ip的列表，也是通过相同的方式去尝试连接并传播自身，远程执行：

可以看出，将自身文件传播到远程主机以后，构造两种远程执行的命令，同样利用rundll32去加载自身样本。

远程执行：

Psexec命令：Dllhost.dat \\TargetName -accepteula -s -d C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\petya.dll\",#1

Wmic命令：C:\Windows\Wbem\wmic.exe /node:/user:/password:process call create
\”C:\Windows\System32\rundll32.exe “C:\\windows\\petya.dll” #1”