逆向工程是最受歡迎和最有價(jià)值的網(wǎng)絡(luò)安全/信息安全技能之一。但很少有人能將自己的技能水平發(fā)展到精通這一備受追捧的技能。Ghidra 是美國(guó)間諜機(jī)構(gòu) NSA 提供的一種相對(duì)較新且免費(fèi)的逆向工程工具。

在本教程中，我們將研究歷史上最臭名昭著的一個(gè)惡意勒索病毒：WannaCry。它感染了全球30多萬(wàn)臺(tái)電腦，如果不是馬庫(kù)斯-赫欽斯（Marcus Hutchens，又名MalwareTech）的工作和技能，可能會(huì)造成巨大的破壞。Marcus Hutchens 獲得了該惡意軟件的樣本，并立即開始檢查其代碼。在其中，他發(fā)現(xiàn)了通常被稱為killswitch的東西。實(shí)際上，他發(fā)現(xiàn)的是將用于該勒索軟件的命令和控制（C&C）的URL。當(dāng)他意識(shí)到這個(gè)URL還沒有被注冊(cè)時(shí)，他就注冊(cè)了。通過這樣做，他拒絕了勒索軟件作者對(duì)其惡意軟件的控制權(quán)，從而拯救了互聯(lián)網(wǎng)。

在這里，我們將查看惡意軟件尋找URL的初始感染載體，并試圖了解它如何啟動(dòng)其惡意活動(dòng)。

1、準(zhǔn)備好你的環(huán)境并安裝Ghidra

對(duì)于本教程，我建議你使用Kali或其他操作系統(tǒng)的虛擬機(jī)。這是為了確保你不會(huì)意外地將WannaCcy釋放到你的其他系統(tǒng)或網(wǎng)絡(luò)中（這通常是處理惡意軟件時(shí)的良好做法）。接下來(lái)，下載WannaCry。你可以從許多地方獲得它，如VirusTotal。

然后啟動(dòng)Ghidra

然后導(dǎo)入樣本文件。

然后開始分析：

接下來(lái)，會(huì)有詳細(xì)介紹分析的選項(xiàng)。保留所有的默認(rèn)值，并添加（Decompiler Parameter ID）反編譯器參數(shù)ID（這將為一個(gè)函數(shù)創(chuàng)建參數(shù)和局部變量。對(duì)于大文件來(lái)說，這可能會(huì)增加大量的分析時(shí)間，但對(duì)于WannaCry來(lái)說，這應(yīng)該不會(huì)有什么問題）。

在 Ghidra 分析 WannaCry 時(shí)，可能會(huì)收到以下錯(cuò)誤消息。不用管它，只需單擊"OK"。

分析完成后如下所示：

2、查找Main()函數(shù)

下一步是尋找啟動(dòng) WannaCry 這個(gè)惡意軟件的函數(shù)。正如我們?cè)趯阂廛浖虞d到 Ghidra 時(shí)所指出的，WannaCry 是一個(gè)便攜式可執(zhí)行文件 (PE)。每個(gè) Windows 程序都有一個(gè)入口點(diǎn)，通常命名為 WinMain 或 wWinMain。請(qǐng)參閱下面的 Microsoft 文檔。

當(dāng)我們轉(zhuǎn)到符號(hào)樹并展開函數(shù)文件夾時(shí)，沒有找到 WinMain 或 wWinMain 函數(shù)，但我們看到了entry函數(shù)。這可能與 WinMain() 具有相同的目的。讓我們檢查一下。

雙擊它，它將出現(xiàn)在列表窗口和反編譯窗口。

3、查找"killswitch"

通過掃描反編譯窗口的代碼，我們可以看到這個(gè)函數(shù)調(diào)用了另一個(gè)函數(shù) FUN_00408140()。雙擊它來(lái)分析它。

然后你會(huì)在列表窗口和反編譯窗口中看到一個(gè)URL。

它似乎將 URL 放入名為 puVar3 的變量中。

繼續(xù)往下，我們可以看到對(duì)InternetOpenUrlA函數(shù)的引用。

我們可以通過 Microsoft Technet 搜索，看到 InternetOpenUrlA 函數(shù)正如你所預(yù)想的那樣，它調(diào)用并打開指定的 URL。

在 InternetOpenUrlA 下方，我們看到幾行使用 InternetCloseHandle。這些指定如果 iVar2 為 0 ，則關(guān)閉句柄并運(yùn)行 FUN_00408090()，否則關(guān)閉句柄并終止程序。

這是 Marcus Hutchins 在第一次檢查和分析 WannaCry 時(shí)注意到的。這是命令和控制 (C&C) 的 URL。如果程序嘗試訪問 URL 并返回 0，則程序自動(dòng)終止。如果它沒有終止，則執(zhí)行 FUN_00408140()。讓我們關(guān)注 FUN_00408140()。

4、程序流程

在下一步中，讓我們按照 FUN_00408140() 的流程進(jìn)行操作。找到 Ghidra 頂部的 Window 選項(xiàng)卡，然后單擊 Function Call Graph。

Ghidra 為我們生成了一個(gè)易于閱讀的來(lái)自該函數(shù)的調(diào)用流程圖，包括上游和下游?？梢钥吹絜ntry函數(shù)是FUN 00408140的上游，下游是InternetOpenA、InternetOpenUrlA、InternetCloseHandle和FUN_00408090

回到反編譯窗口，讓我們雙擊 FUN_00408090() 進(jìn)入來(lái)分析它。

請(qǐng)注意，反編譯器顯示惡意軟件會(huì)嘗試調(diào)用 OpenServiceA函數(shù)。這包括打開 msseCV2.0_004312fc 的參數(shù)。這似乎打開了 Microsoft 安全服務(wù)。這很有趣...

當(dāng)我們搜索微軟的 Technet 時(shí)，我們發(fā)現(xiàn)沒有這樣的服務(wù)存在。該惡意軟件正在啟動(dòng)一項(xiàng)偽裝成合法的 Microsoft 安全服務(wù)的新服務(wù)，以掩蓋其真實(shí)性質(zhì)。

本節(jié)概括

Wannacry 勒索軟件有可能在 2017 年對(duì)互聯(lián)網(wǎng)造成毀滅性打擊。它利用當(dāng)時(shí)最新發(fā)布的 EternalBlue 漏洞進(jìn)入計(jì)算機(jī)系統(tǒng)，然后加密所有數(shù)據(jù)，直到他們支付贖金。Wannacry由朝鮮APT開發(fā)，他們未能掩蓋或混淆惡意軟件，最重要的是，沒有注冊(cè)C&C域。感謝 Marcus Hutchins，他檢測(cè)到killswitch并解除了這個(gè)勒索軟件繼續(xù)感染，從而減輕了它的影響。

說明

本文由合天網(wǎng)安實(shí)驗(yàn)室編譯，如需轉(zhuǎn)載，請(qǐng)注明來(lái)源 原文地址:Reverse Engineering Malware, Ghidra Part 3: Analyzing the WannaCry Ransomware (hackers-arise.com)

關(guān)于合天網(wǎng)安實(shí)驗(yàn)室

合天網(wǎng)安實(shí)驗(yàn)室（www.hetianlab.com）-國(guó)內(nèi)領(lǐng)先的實(shí)操型網(wǎng)絡(luò)安全在線教育平臺(tái): http://www.hetianlab.com）-國(guó)內(nèi)領(lǐng)先的實(shí)操型網(wǎng)絡(luò)安全在線教育平臺(tái)

真實(shí)環(huán)境，在線實(shí)操學(xué)網(wǎng)絡(luò)安全 ； 實(shí)驗(yàn)內(nèi)容涵蓋：系統(tǒng)安全，軟件安全，網(wǎng)絡(luò)安全，Web安全，移動(dòng)安全，CTF，取證分析，滲透測(cè)試，網(wǎng)安意識(shí)教育等。