浅谈Wannacry蠕虫比特币勒索病毒软件

摘要

大概在一个月前,有个叫影子经纪人的黑客团队攻破了方程式组织的网络大门,窃取了大量的内部信息,同时“影子经济人”希望方程式组织支付只够多的费用(要价100万美金比特币)用于赎回被窃取的内部资料,看上去这一切就像是黑吃黑。影子经纪人的黑客团队为了证明自己的确攻破了方程式的大门,随后在网上公布了他们武器库的一部分资料。当资料被公布的那一刻,全世界网络安全的人员惊呆了,这个

  大概在一个月前,有个叫影子经纪人的黑客团队攻破了方程式组织的网络大门,窃取了大量的内部信息,同时“影子经济人”希望方程式组织支付只够多的费用(要价100万美金比特币)用于赎回被窃取的内部资料,看上去这一切就像是黑吃黑。影子经纪人的黑客团队为了证明自己的确攻破了方程式的大门,随后在网上公布了他们武器库的一部分资料。

  当资料被公布的那一刻,全世界网络安全的人员惊呆了,这个武器库如此之强大,就好像给你展示了一个时空穿越机器,而且这个机器可能是他的实验室里众多的设备之一,而且这东西可能人家很多年前就有了,搁在那都积灰了的陈旧设备。

  5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。 该软件被认为是一种蠕虫变种(也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”)。 像其他勒索软件的变种一样,WannaCry也阻止用户访问计算机或文件,要求用户需付费解锁。

  该勒索软件利用ETERNALBLUE(永恒之蓝)发起病毒攻击。蠕虫软件正是利用 SMB服务器漏洞,通过渗透到未打补丁的Windows计算机中,实现大规模迅速传播。 一旦你所在组织中一台计算机受攻击,蠕虫会迅速寻找其他有漏洞的电脑并发起攻击。

  全球性的黑客攻击,比特币勒索病毒来袭! - 知乎专栏

  一旦发现中毒机器,立即断网。组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置。并禁止在中毒机器使用u盘、移动硬盘等设备,防止移动传染。

  解决方案:勒索蠕虫病毒文件恢复工具 - 知乎专栏

  “永恒之蓝”勒索病毒检测+恢复工具 - 知乎专栏

  早在几年前,多家安全研究机构及安全实验室对一些重大的网络犯罪行为及重大的网络病毒进行跟踪分析后,发现所有的这些病毒样体及攻击源头都指向了一个叫做方程式组织(Equation Group)的机构。

  根据当时掌握的信息,这个组织规模庞大资金充足,并拥有足够的调用互联网资源的能力。追踪发现,全世界至少有42个国家的几百个恶意软件和这个组织有关。从2001年到现在,“方程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、阿拉伯联合大公国、香港、英国、美国等全球超过30个国家感染了数千个,甚至上万个受害者。

  随着调查的继续,犹如美国大片一样拨开层层迷雾,最终这个神秘组织初露端倪,虽然到目前为止没有公开的证据足以证明,但很多线索告诉我们,他和美国国家安全局有密不可分的关系,甚至有部分美国国家安全局的代号编码被收入在这个组织的软件代码中,通过代码时间戳的行为习惯分析这个组织一般只在周一到周五编写代码,更像某种商业机构或政府企业,种种分析这个叫做“方程式”的组织或许就是美国国家安全局编制内的一个机构,亦或是提供美国国家安全局网络攻击武器的军火商。总之这个组织拥有这个世界最先进的网络攻击手段及网络攻击组织能力。

  这并不是一个秘密开关,所以。。。在反病毒一线的安全研究人员应该了解,木马为了躲避一些自动化的恶意软件分析系统(比如沙箱),会在运行前检测当前的运行环境是一个真实用户的机器还是用于恶意样本分析的虚拟环境。如果检测发现是后者,木马会采取完全不同的运行路径,比如直接退出。

  此外,沙箱环境为了避免恶意样本运行过程中对外界网络环境产生危害,通常会将恶意样本产生的网络流量进行拦截,同时为了保证恶意样本能够正常运行,对于恶意样本的网络请求(如DNS、HTTP)会模拟返回响应结果。这样做存在一个缺点,如果一个恶意样本利用上述沙箱特性进行针对性的检测,在样本发现自己运行在一个虚拟的沙箱环境中后,为了避免被检测到,采取隐藏自己恶意行为的措施或者直接退出运行。

  WannaCry勒索木马使用这个秘密开关域名的原因就是为了进行沙箱环境的检测,逃避沙箱的自动化检测,进而延长自己的存活时间。

  原因有以下两点:

  此秘密开关域名从未被攻击者注册过,而是被安全人员发现后抢注。如果作为控制开关,黑客应该自己注册和掌控该域名;

  攻击者很可能是在WannaCry样本中内置一个随机的未注册的域名,该秘密开关域名的随机程度达到了97.77%,够不够随机?),在运行过程中用于判断是否会有网络响应,进而判断是否运行在虚拟的沙箱环境中,如果是则直接退出。这也符合之前我们对该样本的分析结论。

  铺垫了这么多才开始说正事,回到我们这次大规模爆发的勒索软件,其实勒索软件早在几年前就存在,且每年成上升的趋势,之前的勒索软件主要传播的途径是通过一些仿冒邮件的方式,而这次勒索软件主要依赖之前方程式组织泄露的高级漏洞可以自动传播入侵,一下子将勒索软件传播的效率指数倍的提高,所以导致毒勒索软件事件大规模发生。

  最后说几个自己的看法,如果没有影子经纪人披露的“方程式"武器库(网络漏洞库),如果搭载这些高级漏洞的也不是勒索软件,作为全世界唯一拥有这个秘密的美国国家安全局是否会搭载一些其他的程序(例如情报收集)?影子经纪人公布的只是一小部分武器库,现实世界美国国家安全局是否已经全面部署了这种全世界情报获取的方式?这一切的一切不是遐想,只是他会不会这么做,是不是已经做了。

  方程式入侵事件后美国公民自由联盟律师在声明中称:“这些攻击事件彰显了一个事实:网络安全漏洞不仅会被我们的安全机构利用,也会被世界范围内的黑客和犯罪分子利用。”

  而今天发生大规模勒索事件后,我很想再把这句话倒过来说一下“网络安全漏洞不仅会被黑客和犯罪分子利用,也会被安全机构用来作为全世界争夺网络空间控制权的武器。”

  目前来看,抓到影子经纪人核心团队要到密码是解开文件的唯一办法。这次病毒扩散如此之广主要是因为利用了泄露漏洞,从技术上看并不难。国内也有类似的黑客勒索,不排除会利用这次泄露的漏洞。建议受到勒索的企业和个人不要付费,否则结果一定会是收到更多的勒索。

匿名

发表评论

匿名网友