犹记得《人民的名义》中高小凤问侯亮平:侯局长,你想先搞哭谁?
WannaCry 在全球搞哭了一些人,最近它会再搞哭一些人吗?5月16日傍晚,雷锋网从腾讯反病毒实验室了解到一个最新消息:初步判断WannaCry病毒在爆发之前已经存在于互联网中,并且病毒目前仍然在进行变种。在监控到的样本中,发现疑似黑客的开发路径,有的样本名称已经变为“WannaSister.exe”,从“想哭(WannaCry)”变成“想妹妹(WannaSister)”。
首先给你两个结论定定心:
1.发现者腾讯反病毒实验室告诉雷锋网:“不得不承认此次WannaCry勒索病毒影响席卷全球,短期内被瞬间引爆,但实际破坏性还不算大,我们的研究和输出希望帮助大家理性了解并面对,并不希望被放大和恐慌。此次我们认为这次勒索病毒的作恶手法没有显著变化,只是这次与微软漏洞结合。”
2.针对勒索病毒已经找到了有效的防御方法,而且周一开始病毒传播已在减弱,用户只要掌握正确的方法就可以避免,广大网友不必太惊慌,呼吁行业理性应对,腾讯反病毒实验室称,会继续追踪病毒演变。
简单而言,就是:第一,“想妹妹”利用的依然是“想哭”利用的微软漏洞,第二,如果你挺过了“想哭”然后成功打了补丁,关闭了端口,并采取了一些预防措施,“想妹妹”基本不会搞哭你。
那没有挺过“想哭”勒索蠕虫的用户又不长记性、不做措施呢?也许,雷锋网猜测,“想妹妹”会继续搞哭你?
看到这里不要以为就可以点右上角的“叉叉”了,作为一个求知欲旺盛的读者,你或许可以了解一下,“想妹妹”采取了哪些对抗升级手段?还有,“想哥哥”“想爸爸”“想爷爷”……这个想念全世界的勒索蠕虫究竟可以顽强到哪种程度,它来了一轮又一轮的几率有多大?
首先,有必要了解的是,勒索病毒这几年很常见,这次呈现爆发态势,究竟是吃错了哪种药?
腾讯安全联合实验室反病毒实验室专家于涛告诉雷锋网,病毒在5月12日大规模爆发之前,很有可能就已经通过挂马的方式在网络中进行传播。在一个来自巴西被挂马的网站上可以下载到一个混淆的html文件,html会去下载一个前缀为task的exe文件,而诸多信息表明,此文件很有可能与12号爆发的WannaCry勒索病毒有着紧密关系。
根据腾讯反病毒实验室威胁情报数据库中查询得知,此文件第一次出现的时间是2017年5月9号。WannaCry的传播方式,最早很可能是通过挂马的方式进行传播。12号爆发的原因,正是因为黑客更换了传播的武器库,挑选了泄露的MS17-010漏洞,才造成这次大规模的爆发。当有其他更具杀伤力的武器时,黑客也一定会第一时间利用。
如果“想妹妹”觉得依靠此次微软的漏洞已经不能很好地“开展业务了”,那么,它可能采取别的漏洞或方式。不过,于涛说,勒索作者后续再利用未知的零日漏洞在这种勒索蠕虫上似乎“性价比不高”,此次这个作者利用了NSA 的已公开工具,并结合了微软已发布了严重漏洞补丁后用户没有及时跟进的特殊情况才得逞。
但是,下一个手段是哪种手段?天知道。
当传播方式鸟枪换大炮后,黑客也在炮弹上开始下功夫。腾讯反病毒实验室在已获取的样本中,找到了一个名为WannaSister的样本,而这个样本应该是病毒作者持续更新,用来逃避杀毒软件查杀的对抗手段。
此样本首次出现在5月13日,这说明自从病毒爆发后,作者也在持续更新,正在想办法让大家从“WannaCry想哭”更新到“WannaSister想妹妹”。就目前掌握的信息,自 5月12 日病毒爆发以后,病毒样本出现了至少 4 种方式来对抗安全软件的查杀,这也再次印证了WannaCry还在一直演化。
在分析的过程中,腾讯反病毒实验室发现,已经有样本在原有病毒的基础上进行了加壳的处理,以此来对抗静态引擎的查杀,而这个样本最早出现在5月12号的半夜11点左右,可见病毒作者在12号病毒爆发后的当天,就已经开始着手进行免杀对抗。
通过加壳后,分析人员无法直接看到有效的字符串信息,这种方式可以对抗杀毒软件静态字符串查杀。通过使用分析软件脱壳后,就可以看到WannaCry的关键字符串。包括c.wnry加密后的文件,wncry@2ol7解密压缩包的密码,及作者的 3 个比特币地址等。
然后,重点就来了,该作者不仅为“想妹妹”穿上了铠甲,还套上了一层黄金铠甲。
于涛说:“病毒作者并非只使用了一款加壳工具对病毒进行加密,在其他样本中,也发现作者使用了安全行业公认的强壳VMP进行加密,而这种加密方式,使被加密过的样本更加难以分析。我们通过验证使用VMP加密过的样本,发现非常多的杀毒厂商已无法识别。”
这是什么意思呢?相当于作者把样本内能证明它是“想妹妹”的信息严格加密了,本来大家说的都是普通话,现在倒好,变成了Dhivehi,不懂了吧?其实编辑也是搜索了才知道,这是马尔地夫当地语言,应该是世界上使用人数最少的语言之一。
在收集到的样本中,有一类样本在代码中加入了许多正常字符串信息,在字符串信息中添加了许多图片链接,并且把WannaCry病毒加密后,放在了自己的资源文件下。这样即可以混淆病毒分析人员造成误导,同时也可以躲避杀软的查杀。
当我们打开图片链接时,可以看到一副正常的图片。误导你,让你觉得没有什么恶意事情发生,但实际上病毒已经开始运行,会通过启动傀儡进程,进一步掩饰自己的恶意行为,随后解密资源文件,并将资源文件写入到傀儡进程中,这样就借助傀儡进程启动了恶意代码。
这就是可能误导你的图片之一:
好,你说上面这种图片你还有戒心,那下面这种图片呢?其实编辑也不知道这是谁。
在分析5月14日的样本中,于涛和同事们发现,病毒作者开始对病毒文件加数字签名证书,用签名证书的的方式来逃避杀毒软件的查杀。
所谓数字签名证书,就是一张“无害证明书”——互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在互联网上验证通信实体身份的方式。本来是个恐怖分子,却拿着你二姨的身份证混进你家的工厂。
但是,签名证书并不是有效的。于涛感叹,也许作者添加证书是临时起意,并没有事先准备好。
腾讯反病毒实验室称,发现病毒作者对同一病毒文件进行了多次签名,尝试绕过杀软的方法。在获取的情报当中,两次签名时间仅间隔9秒钟,并且样本的名字也只差1个字符。
于涛称,病毒作者在更新的样本中,也增加了反调试手法:通过人为制造SEH异常,改变程序的执行流程;注册窗口Class结构体,将函数执行流程隐藏在函数回调中。
上述两种手段都是为了对抗安全人员分析病毒样本,比如,安全人员在分析时,这条路走得好好的,突然遇到了病毒作者设置的一堵墙,因此只能想办法爬过去。
于涛说,上述对抗手段是一般勒索软件的对抗升级思路,“想妹妹”并没有想出什么高招。现在,该勒索蠕虫病毒已经成了“全民公敌”,虽然只收到了折合人民币约 40 多万元的赎金,但面对全世界人面的愤怒,它却依然没有收手的意思,从它不断变换升级看,要严阵以待,做好打持久战的准备,坚决遏制勒索病毒蔓延趋势。
不过,腾讯反病毒实验室再次提醒:针对勒索病毒已经找到了有效的防御方法,而且周一开始病毒传播已在减弱,只要掌握正确的方法就可以避免,你们不必太惊慌。