特稿 >

前沿热点 >

YOCSEF论坛速递:绿盟信息安全左磊《勒索软件技术分析的技术报告》

YOCSEF论坛速递:绿盟信息安全左磊《勒索软件技术分析的技术报告》

Xtecher整理 丨 前沿热点

11259
47

2017-05-17

赵逸禅

Xtecher特稿作者

关注

5月16日,中国计算机学会青年计算机科技论坛在北京举行,本次活动由CCF YOCSEF联合举办,主题为《勒索病毒:凭什么能绑架我们的系统》,众多嘉宾进行了分享与讨论。


会上,北京神舟绿盟信息安全科技股份有限公司安全研究部总监左磊发布名为《Wannacry勒索软件的技术分析》的演讲,由Xtecher整理删节,全文已经审阅。


演讲分为三个内容:


第一,事件的成因、分析,其中介绍一下它利用的漏洞。


这个蠕虫我们看到第一例蠕虫性的勒索软件。传统的软件,左边这张图介绍一个勒索软件大概用的套路,传统是通过钓鱼邮件,或者钓鱼的网页,诱使用户点击,有的利用一些系统漏洞,有的是利用自身的功能,去执行他这个恶意的软件,执行完之后它就对系统文件进行加密,你必须通过支付赎金才能够解密。


但是这次WannaCry这个蠕虫,它多了一步,除了加密文件之后,它还利用了一个漏洞,通过网络自动的传播,这样的话就使这个勒索软件的影响范围急剧的扩大,这也是为什么这个勒索软件影响如此巨大的原因。


WannaCry大概在17年2、3月份就开始有了,当时这个勒索软件的版本大概是1.0,但是那时候它还没具备蠕虫传播的功能,只是单纯的加密、勒索。但是当时并没有引起什么重视,因为众多的勒索软件里面,它实在是太无普通了,也没什么值得人关注的东西。


3月14号,微软在公告中修补了6个SMB漏洞,这6个漏洞都没有公布发现者,当时觉得比较严重,因为这些漏洞大都是SMB的远程代码执行漏洞。大概过了一个月,4月14号,这时候就泄露出来了利用代码,这里面包含了EternalBlue。绿盟当时加班去分析这个漏洞,发现这个利用工具非常好用,对Win7,还有2003、2008、XP都可以攻击。后来很快微软发了一个通告,说实际上这些漏洞都已经在ms17-010,包括以前的公告中都补了,特别是ms17-010已经补了4个漏洞,当时就想会不会有人利用这个漏洞来进行攻击,结果过了不到一个月,也是星期五,WannaCry2.0就出现了。


WannaCry之所以影响这么大,主要就是因为EternalBule的工具相对比较稳定通用的一个工具,所以这次蠕虫就把这个工具集成到它那个里面去了。


第二,他介绍一下勒索软件本身的功能原理。他首先对漏洞进行了分析,并表示,这个勒索软件和漏洞相比这个软件就没有什么特别多的值得讲的地方,其实它和普通的蠕虫软件没有什么特别大的区别。


这个勒索样本会弹出一个框了,你被加密了,需要支付赎金。它和其他的软件不同的是,它有一个硬编码的域名地址,看起来是一个随机数,比较长的一个地址。这个代码实际上每次运行之前,都会先去试图打开这个域名,看看这个域名是不是可以连,如果这个域名能连上,正常能打开的话它就退出了,如果不能连上的话,它在下面的函数里面进行加密还有共享传播的过程。(Xtecher注:过去的样本中,网络上爆出已有专家查找出一个异常域名,该异常域名被注册后,如果病毒能成功访问这个异常域名,就会停止传播。)


关于这个域名有两种说法,一种说法是说怀疑这个域名是用来逃避沙盒检测,检测的沙盒,不管你发什么域名我都会给你返回一个有效的IP地址就能访问了,这样就使这个恶意代码误以为它是一个正常环境,继续往下执行。


还有一个说法认为,这个就是用来想自己控制蠕虫的传播,他注册一个域名,让它生效之后,蠕虫自动传播就停止了。从我个人来说,我觉得是后一种可能性比较大。但是这个人没有提前注册域名,所以正好被那个研究员注册了,他也是在运行这个样本的时候,发现它正好访问这个域名,他自己那个环境就发现这个域名没有注册,他就注册了,其中就延缓了这个代码传播的时间,现在基本上这个蠕虫没有它的传播时间了。


这个蠕虫主要的功能有两个,一个就是加密文件,勒索赎金。还有它同时对互联网进行扫描,去传播自己,应用的方式就是我们前面讲的漏洞,就是它加密了一些文件的类型,基本上有好几十种,能想到有价值的文档它都加密了,它自己也有一些内部启动,自动扫描的工作,就是利用我们已有的漏洞的进行传播。


第三,绿盟近期对后续的变种进行了一些监测,并分享情况。


14号的时候卡巴斯基说发现了变种,已经不需要开关了,我们找到这个样本,发现有两个样本。第一个变种惟一的区别,只有开关域名两个字符,就是把其中两个字符改成另外两个,只改两个字节,分析软件的那个人也把这个域名给注册了。这个修改很简单,我认为这应该不是原来的作者做的事。


第二个变种是有三处做了修改,其中一个他把域名整个清空了,清成零了,已经没有那个开关了。第二个他在一个条件判断的地方修改了一个字节,就把原来如果判断域名存在它就退出,就改成了不管存在不存在我都往下执行,它就干了这么一个工作。


关于YOCSEF


中国计算机学会青年计算机科技论坛(CCF Young Computer Scientists & Engineers Forum,YOCSEF)是由中国计算机学会(CCF)于1998年创建的系列性学术活动。CCF YOCSEF以“承担社会责任、提升成员能力、促进成员合作、探索新的机制”为宗旨,由来自全国有激情、有思想并富有社会责任感的学者、企业家及其他各界青年精英参与策划与组织,是CCF最具活力的部分。CCF YOCSEF的活动形式主要包括专题论坛和学术报告会,此外还有学术评价、评奖、扶贫助教等。

打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮

账号登录

重置密码

还没有账号?立即注册>

账号注册

已有账号?立即登录>注册企业会员

重置密码

返回

绑定手机