承上文的佈局篇
我們在這裡要分析Wannacry的加密部分
加密這部分仍然是由t.wnry負責的
為了能夠以最高的效率加密受害者的檔案,作者在這裡可是費煞苦心哪
分析完了MS17 010漏洞
我們把重心再回到Wannacry本身上面
這一次要分析的是它的加密和勒索前的佈局部分
這部分是隨著Wannacry的變種變化最多的
在此我們以初版的Wannacry為主來研究
如果說EternalBlue開了Windows的後門
那DoublePulsar就是從這後門侵門踏戶的真正攻擊者
因此網路上有些關於這漏洞的分析文章會把他們搞在一起
畢竟Wannacry已經把這兩階段的攻擊合併了
沒見過原本EternalBlue和DoublePulsar組合攻擊的人很難分辨出來
上一篇文章裡我們提到Wannacry利用MS-17 010漏洞感染其他電腦
但並沒有提到是如何感染的
因為它背後牽涉的技術非常多且複雜
在這裡我們將用一整篇文章的篇幅來介紹MS-17 010這個漏洞
在Wannacry造成災情之前
筆者剛好有在研究他所利用的漏洞-EternalBlue
也因此有機會在Wannacry事件中盡一番心力
於是想藉此把Wannacry像熱血系列一樣
用反向工程(Reverse engineering)研究一下
所以在之後的文章裡
我們會用幾篇文章的篇幅把Wannacry大卸八塊
看看他內部到底是怎麼運作的