猶記得《人民的名義》中高小鳳問侯亮平:侯局長,你想先搞哭誰?
WannaCry 在全球搞哭了一些人,最近它會再搞哭一些人嗎?5月16日傍晚,雷鋒網從騰訊反病毒實驗室了解到一個最新消息:初步判斷WannaCry病毒在爆發之前已經存在於網際網路中,並且病毒目前仍然在進行變種。在監控到的樣本中,發現疑似黑客的開發路徑,有的樣本名稱已經變為「WannaSister.exe」,從「想哭(WannaCry)」變成「想妹妹(WannaSister)」。
首先給你兩個結論定定心:
1.發現者騰訊反病毒實驗室告訴雷鋒網:「不得不承認此次WannaCry勒索病毒影響席捲全球,短期內被瞬間引爆,但實際破壞性還不算大,我們的研究和輸出希望幫助大家理性了解並面對,並不希望被放大和恐慌。此次我們認為這次勒索病毒的作惡手法沒有顯著變化,只是這次與微軟漏洞結合。」
2.針對勒索病毒已經找到了有效的防禦方法,而且周一開始病毒傳播已在減弱,用戶只要掌握正確的方法就可以避免,廣大網友不必太驚慌,呼籲行業理性應對,騰訊反病毒實驗室稱,會繼續追蹤病毒演變。
簡單而言,就是:第一,「想妹妹」利用的依然是「想哭」利用的微軟漏洞,第二,如果你挺過了「想哭」然後成功打了補丁,關閉了埠,並採取了一些預防措施,「想妹妹」基本不會搞哭你。
那沒有挺過「想哭」勒索蠕蟲的用戶又不長記性、不做措施呢?也許,雷鋒網(公眾號:雷鋒網)猜測,「想妹妹」會繼續搞哭你?
看到這裡不要以為就可以點右上角的「叉叉」了,作為一個求知慾旺盛的讀者,你或許可以了解一下,「想妹妹」採取了哪些對抗升級手段?還有,「想哥哥」「想爸爸」「想爺爺」……這個想念全世界的勒索蠕蟲究竟可以頑強到哪種程度,它來了一輪又一輪的機率有多大?
首先,有必要了解的是,勒索病毒這幾年很常見,這次呈現爆發態勢,究竟是吃錯了哪種藥?
騰訊安全聯合實驗室反病毒實驗室專家于濤告訴雷鋒網,病毒在5月12日大規模爆發之前,很有可能就已經通過掛馬的方式在網絡中進行傳播。在一個來自巴西被掛馬的網站上可以下載到一個混淆的html文件,html會去下載一個前綴為task的exe文件,而諸多信息表明,此文件很有可能與12號爆發的WannaCry勒索病毒有著緊密關係。
根據騰訊反病毒實驗室威脅情報資料庫中查詢得知,此文件第一次出現的時間是2017年5月9號。WannaCry的傳播方式,最早很可能是通過掛馬的方式進行傳播。12號爆發的原因,正是因為黑客更換了傳播的武器庫,挑選了洩露的MS17-010漏洞,才造成這次大規模的爆發。當有其他更具殺傷力的武器時,黑客也一定會第一時間利用。
如果「想妹妹」覺得依靠此次微軟的漏洞已經不能很好地「開展業務了」,那麼,它可能採取別的漏洞或方式。不過,于濤說,勒索作者後續再利用未知的零日漏洞在這種勒索蠕蟲上似乎「性價比不高」,此次這個作者利用了NSA 的已公開工具,並結合了微軟已發布了嚴重漏洞補丁後用戶沒有及時跟進的特殊情況才得逞。
但是,下一個手段是哪種手段?天知道。
當傳播方式鳥槍換大炮後,黑客也在炮彈上開始下功夫。騰訊反病毒實驗室在已獲取的樣本中,找到了一個名為WannaSister的樣本,而這個樣本應該是病毒作者持續更新,用來逃避殺毒軟體查殺的對抗手段。
此樣本首次出現在5月13日,這說明自從病毒爆發後,作者也在持續更新,正在想辦法讓大家從「WannaCry想哭」更新到「WannaSister想妹妹」。就目前掌握的信息,自 5月12 日病毒爆發以後,病毒樣本出現了至少 4 種方式來對抗安全軟體的查殺,這也再次印證了WannaCry還在一直演化。
在分析的過程中,騰訊反病毒實驗室發現,已經有樣本在原有病毒的基礎上進行了加殼的處理,以此來對抗靜態引擎的查殺,而這個樣本最早出現在5月12號的半夜11點左右,可見病毒作者在12號病毒爆發後的當天,就已經開始著手進行免殺對抗。
通過加殼後,分析人員無法直接看到有效的字符串信息,這種方式可以對抗殺毒軟體靜態字符串查殺。通過使用分析軟體脫殼後,就可以看到WannaCry的關鍵字符串。包括c.wnry加密後的文件,wncry@2ol7解密壓縮包的密碼,及作者的 3 個比特幣地址等。
然後,重點就來了,該作者不僅為「想妹妹」穿上了鎧甲,還套上了一層黃金鎧甲。
于濤說:「病毒作者並非只使用了一款加殼工具對病毒進行加密,在其他樣本中,也發現作者使用了安全行業公認的強殼VMP進行加密,而這種加密方式,使被加密過的樣本更加難以分析。我們通過驗證使用VMP加密過的樣本,發現非常多的殺毒廠商已無法識別。」
這是什麼意思呢?相當於作者把樣本內能證明它是「想妹妹」的信息嚴格加密了,本來大家說的都是普通話,現在倒好,變成了Dhivehi,不懂了吧?其實編輯也是搜索了才知道,這是馬爾地夫當地語言,應該是世界上使用人數最少的語言之一。
在收集到的樣本中,有一類樣本在代碼中加入了許多正常字符串信息,在字符串信息中添加了許多圖片連結,並且把WannaCry病毒加密後,放在了自己的資源文件下。這樣即可以混淆病毒分析人員造成誤導,同時也可以躲避殺軟的查殺。
當我們打開圖片連結時,可以看到一副正常的圖片。誤導你,讓你覺得沒有什麼惡意事情發生,但實際上病毒已經開始運行,會通過啟動傀儡進程,進一步掩飾自己的惡意行為,隨後解密資源文件,並將資源文件寫入到傀儡進程中,這樣就藉助傀儡進程啟動了惡意代碼。
這就是可能誤導你的圖片之一:
好,你說上面這種圖片你還有戒心,那下面這種圖片呢?其實編輯也不知道這是誰。
在分析5月14日的樣本中,于濤和同事們發現,病毒作者開始對病毒文件加數字籤名證書,用籤名證書的的方式來逃避殺毒軟體的查殺。
所謂數字籤名證書,就是一張「無害證明書」——網際網路通訊中標誌通訊各方身份信息的一串數字,提供了一種在網際網路上驗證通信實體身份的方式。本來是個恐怖分子,卻拿著你二姨的身份證混進你家的工廠。
但是,籤名證書並不是有效的。于濤感嘆,也許作者添加證書是臨時起意,並沒有事先準備好。
騰訊反病毒實驗室稱,發現病毒作者對同一病毒文件進行了多次籤名,嘗試繞過殺軟的方法。在獲取的情報當中,兩次籤名時間僅間隔9秒鐘,並且樣本的名字也只差1個字符。
于濤稱,病毒作者在更新的樣本中,也增加了反調試手法:通過人為製造SEH異常,改變程序的執行流程;註冊窗口Class結構體,將函數執行流程隱藏在函數回調中。
上述兩種手段都是為了對抗安全人員分析病毒樣本,比如,安全人員在分析時,這條路走得好好的,突然遇到了病毒作者設置的一堵牆,因此只能想辦法爬過去。
于濤說,上述對抗手段是一般勒索軟體的對抗升級思路,「想妹妹」並沒有想出什麼高招。現在,該勒索蠕蟲病毒已經成了「全民公敵」,雖然只收到了折合人民幣約 40 多萬元的贖金,但面對全世界人面的憤怒,它卻依然沒有收手的意思,從它不斷變換升級看,要嚴陣以待,做好打持久戰的準備,堅決遏制勒索病毒蔓延趨勢。
不過,騰訊反病毒實驗室再次提醒:針對勒索病毒已經找到了有效的防禦方法,而且周一開始病毒傳播已在減弱,只要掌握正確的方法就可以避免,你們不必太驚慌。
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。