中国领先的IT技术网站
|
|
创建专栏

WannaCry勒索软件黑客犯下超业余错误

随着前所未见的WannaCry勒索软件攻击被深入剖析,网络安全界都被该恶意软件作者所犯的无语错误给震惊了。尽管该攻击利用了NSA被泄 Windows 黑客技术感染了150多个国家的20多万台主机,WannaCry作者的糟糕选择却限制了其规模和利润。

作者:nana|2017-05-17 16:58

【51CTO活动】8.26 带你与清华大学、搜狗、京东大咖们一起探讨基于算法的IT运维实践


WannaCry勒索软件攻击迅速成为近年来袭击互联网的最恐怖数字灾难,在全球范围内造成大量交通瘫痪,令各大医院运转困难。不过,随着事件发展,WannaCry看起来越来越不像是黑客大师的杰作。相反,网络安全调查人员从最近的衰退中看出了该网络犯罪活动的粗糙性:几乎每次转折都显露出了非常业余的错误。

WannaCry勒索软件黑客犯下超业余错误

随着前所未见的WannaCry勒索软件攻击被深入剖析,网络安全界都被该恶意软件作者所犯的无语错误给震惊了。尽管该攻击利用了NSA被泄 Windows 黑客技术感染了150多个国家的20多万台主机,WannaCry作者的糟糕选择却限制了其规模和利润。

这些错误包括:设置了基于Web的“kill-switch"限制其传播,对比特币支付的粗糙处理使得该黑客团伙的盈利易于追踪,甚至恶意软件本身的勒索功能根本是粗制滥造。一些分析师称,该系统甚至让罪犯无法得知哪些人支付了赎金。

如此大规模的攻击却包含这么多让人不忍直视的昏招,引发诸多疑问的同时也清晰传递出一个提醒:如果真正的网络犯罪人士改善了该团伙的方法,结果将更加惨烈。

昏招连连

据最新统计,这震撼整个互联网的攻击中,WannaCry背后的团伙仅获利5.5万美元,才是更专业隐秘的勒索软件阴谋获利的九牛一毛。思科Talos团队网络安全研究员克莱格·威廉姆斯称:“从勒索角度看,这简直是灾难性的失败。高伤害,高曝光,超高司法可见性,但却是我们所见最低的利润率,连中小规模的勒索软件活动都不如。”

伦敦安全公司 Hacker House 研究员马修·西基称,这么微薄的利润可能部分源于WannaCry几乎没实现其基本的勒索功能。西基花了一个周末挖掘WannaCry的代码,发现该恶意软件并没有通过指定唯一比特币地址的方式,自动验证特定受害者是否支付了索要的300比特币赎金。相反,他们只提供4个硬编码比特币地址中的一个,意味着入账支付动作没有标识信息可供自动化解密过程。于是,罪犯自己不得不费劲找出哪台电脑需要解密,鉴于数十万台的感染量,这机制简直糟心。“这真的是个手动过程,必须有人确认并发送密钥。”

西基警告,这种设置将不可避免地导致即便支付了赎金,罪犯也无法解密电脑。他说自己已经见证了一名受害者就是支付了赎金12小时后还没有受到解密密钥。“他们根本没有准备好处理这么大规模的爆发。”

恶意软件中只使用4个硬编码的比特币地址不仅仅引发了支付问题,还大大方便安全界和司法机构对WannaCry盈利匿名提现的追踪。所有比特币交易在比特币公共会计总帐,也就是区块链上,都是可见的。

看起来跟地狱似的可怕,因为感觉能将NSA漏洞利用集成进病毒里的家伙必须是天才级程序员。但实际上,这就是他们所有的绝招了,除此之外他们一无是处。竟然使用硬编码的比特币地址,而不是一个地址对应一个受害者。这思路,也是醉人。

思科研究人员称,他们发现,该勒索软件里的“验证支付”按钮甚至根本没检查比特币有没有被支付。这东西只是在4个答案中随机选一个而已——3个虚假错误消息或者1个虚假“解密”消息。如果黑客确实想要解密文件,威廉姆斯认为,那肯定是通过该恶意软件的“联系”按钮与受害者通信的一个人工过程,或者随意向部分用户发送解密密钥,以给与受害者支付了赎金就能解密文件的假象。相比其他更顺畅更自动化的勒索软件攻击,这么难搞的过程简直是在打消受害者支付赎金的意愿。

它破坏了勒索软件运作的整个信任模型。

 

规模重于实质

老实说,WannaCry的传播速度和广度都达到了勒索软件历史新高。其对近期NSA被泄 Windows 漏洞“永恒之蓝”的利用,开启了史上最恐怖恶意加密传播潮。

但即便仅从其传播能力上评价,WannaCry的作者也犯了巨大错误。他们莫名其妙地在代码里加了一个“断路开关”,会去连接某个特定网址,如果能连上就禁用其加密载荷。研究人员猜测,该功能可能是设计来规避虚拟测试机检测的一个隐蔽手段。但这个莫名其妙的功能,也让化名为MalwareTech的匿名研究员,通过简单注册该域名,而避免了进一步的感染锁定受害者文件。

上周末,WannaCry新版本面试,依然有“断路开关”,只是换了个地址。迪拜安全研究员马特·舒彻几乎是立即注册了该域名,同样成功控制了该改进版的传播。舒彻完全想象不出,为什么那些黑客要用内置在代码中的静态URL,而不采用随机生成的URL呢?舒彻表示:“我找不到任何明显的解释可以说明为什么第二版里仍然有个断路开关。”同样的错误一犯再犯,尤其是这么一个对WannaCry一击必杀的错误,完全没有意义嘛。“这似乎是个逻辑漏洞。”

所有这些都大幅限制了WannaCry的盈利,即便该勒索软件在医院里关停救命的设备,让列车、ATM和地铁系统瘫痪。给WannaCry的5位数收入做个对比,早前一个低调得多的勒索软件活动——Angler,在2015年被禁之前,一年就卷走了6000万美元。1千多倍的差距真是闻者惊心,见者落泪。

事实上,WannaCry破坏如此之巨,盈利如此之少,已经让一些安全研究人员开始怀疑,这有可能根本就不是奔着钱去的阴谋。或许,是某人想通过用NSA被泄黑客工具大肆破坏,来羞辱这个情报机构——甚至可能就是偷了这些工具的“影子经纪人”黑客团伙。

NSA强烈抨击WannaCry,而且这勒索软件阻止起来太容易了,人们很容易会猜测这是出于政治而非经济原因啊。

——Don A. Bailey (@DonAndrewBailey) May 14, 2017

“相信WannaCry与影子经纪人背后的人有关的人肯定不在少数。

——Stefan Esser (@i0n1c) May 15, 2017

除开怀疑和猜测,这些黑客的滥招还有另一层意思:更专业的行动可以提升WannaCry的技术,造成惨烈得多的伤害。网络自传播蠕虫与有盈利潜质的勒索软件的组合,不会消失。

思科的威廉姆斯说:“这明显是恶意软件的下一波进化。它会引来模仿者。”下一波罪犯可能就更精于推动勒索软件的传播,并以之掘金。

【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

【编辑推荐】

  1. DDos攻击猛于虎!信息安全必须做出防虎之计
  2. 【已出解决应对方案】勒索软件“wannacry”的对策与启示
  3. 勒索软件重在预防 顶级灾难恢复哪家强?
  4. 新法倒计时③……并没有,今天还是讲的关于勒索软件wannacry的事情
  5. 新法倒计时③……并没有,今天还是讲的关于勒索软件wannacry的事情
【责任编辑:IT疯 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

热门职位+更多

× 官方软考报名与培训中心