前言

上一篇雖然有大致提到WannaCry是怎麼被傳播的，但因為我們要分析他，所以來個更詳細的版本!

背景

2017年5月

WannaCry(又稱WannaCrypt、WanaCrypt0r 2.0、Wanna Decryptor)誕生了
使用「永恆之藍」漏洞利用程式，並對Windows作業系統的電腦進行攻擊
屬於加密型勒索軟體兼蠕蟲病毒，故可以在同個網段快速傳播

加密方式

使用RSA 2048和CBC模式AES加密文件內容

攻擊如何被停止的

在攻擊發生的當天，經營Blog-MalwareTech的網友Marcus Hutchins開始逆向WannaCry。
他發現 WannaCry 有一個怪怪的Function：
在執行之前，會先查詢網域 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。
但這個網站其實是並不存在的，所以他就直接去註冊這個網域，之後病毒就停止擴散了。

停止執行的原因

WannaCry勒索病毒的反分析機制是利用向DNS查詢尚未註冊的網域名稱

1. (正常情況下)如果DNS回應此網域查無IP尚未註冊，則WannaCry勒索病毒便會認為安全，可以繼續擴散。
2. 但是如果DNS回應了此網域的IP， WannaCry病毒會覺得自己可能已被置於沙盒(Sandbox)測試環境中，便會停止活動與擴散，以防被研究人員分析破解，縮短病毒的壽命。

--from WannaCry勒索軟體報告

變種

因為Kill Switch(查詢網域那部分)，所以他們緊急修復變出了WannaCry3.0，也就是沒有Kill Switch的版本

補充

永恆之藍(EternalBlue)

由NSA(美國國家安全局)開發的漏洞利用程式，於2017年4月被Shadow Brokers組織洩漏。
攻擊手法為利用Windows系統的SMB協議漏洞(MS17-010)來獲取系統最高權限。

Shadow Brokers?
是一個駭客組織，
竊取了NSA的駭客工具，並發布到網路上，
而這些工具可用於攻擊企業防火牆、防毒軟體和微軟產品的漏洞。

攻擊方式

利用445/TCP埠的檔案分享協定的漏洞進行散播

參考資料

WannaCry
永恆之藍
Shadow Brokers
WannaCry勒索軟體報告
WannaCry 2.0 ransomware attacks