注1:基于隐私问题,本文中隐去黑客相关信息,如有关部门需要,请与腾讯反病毒实验室联系。
注2 : 自WannaCry爆发以来,腾讯反病毒实验室一直在深入跟进整体传播态势,通过各种渠道,汇集各类信息 , 努力深挖敲诈勒索病毒背后的真相。目前,从掌握的数据中,我们发现 了一个借势骗钱的黑客, 说明目前 “ 黑吃黑 ”现象 普遍存在。
WannaCry敲诈勒索病毒从12日全面爆发到今天已过去 近 1个月 ,通过各个杀毒厂商积极应对,病毒传播趋势有所收敛。但事情远没有结束,通过腾讯反病毒实验室威胁情报数据库中获取的新增样本情况来看,参与敲诈勒索病毒传播的人越来越多,隐匿在各国的黑客们也开始趁机而动,借势骗钱。
黑客 目的是什么?
黑客用了 哪些手法?
黑客 来 自 哪里 ?
反病毒实验室工程师通过对新增样本进行详细分析,发现新增样本中出现大量被修改“传播开关”、修改比特币地址的样本。通过对数据进行挖掘,我们找到一个被修改了比特币地址的敲诈勒索样本,此样本与之前爆发的WannaCry为同一文件,除了比特币地址被修改,其他全部保持一致。
下图为12号WannaCry爆发原始样本:
下图为被修改了比特币地址的样本:
可以看到,除了比特币地址被修改,其他信息全部一样。
通过对比特币地址的查询,我们发现这个比特币地址交易相对频繁,是个使用时间较久的比特币地址,且与原始WannaCry比特币地址不同的是,WannaCry地址只有收入,没有转出,而这个地址不仅有收入,也有转出。
经查询,此地址第一笔交易时间是2016年9月15日,因此我们推测,此样本背后黑客应该是想借着WannaCry的爆发,浑水摸鱼,趁机捞一把。根据掌握的信息,我们准备挖出此样本背后的黑客。
通过在腾讯反病毒实验室威胁情报数据库中检索,我们找到此样本的原始下载链接,访问链接中的网址后,我们确认这是一家塑料化工工厂的官方网站,网站已经被黑客入侵并挂上了敲诈病毒进行下载扩散。
通过这个URL,在腾讯反病毒实验室哈勃动态行为分析系统中进行检索,找到了访问此URL的原始Downlader样本。
我们对这个Downloader样本进行了详细分析,发现此样本是用PHP语言所写,并转成了EXE可执行文件,由此我们推断,黑客比较熟悉PHP,对PE类可执行文件相对不是非常熟悉。正是由于这个样本是PHP转成的EXE文件,在这个样本中,留下了黑客的指纹。相信,如果黑客对PE文件比较熟悉的话,是绝对不会留下这类指纹的。
在这个Downloader样本的资源数据中,找到黑客电脑路径信息,而此路径中,留有黑客的网络常用名。
溯源追击:
针对 恶意软件里泄漏的部分作者相关信息,通过情报系统,整合各 方面 信息, 去寻找 幕后的黑手。
情报线索 : 捕获的 样本 为 PHP 编写 打包成exe格式, 作者疏忽 留下了一个与作者相关的 可疑字符串 C *******。
我们 在情报系统和网络上搜寻了C ******* 这个 黑客相关ID 的 相关信息如下图:
通过 获得的信息,基本 确认 C ******** 非常可能就是 作者常用的ID, 原因如下:
1. 恶意样本包含PHP相关信息,包含路径C********
2. 这个ID出现于几个黑客网站和论坛
3. 该ID发布过黑客工具基于PHP开发,说明作者有丰富 的PHP开发经验
为了 进一步 查找作者 ,我们继续分析作者以前开发的PHP工具,找到疑似作者用的邮箱 。
综合以上 的 挖掘信息,得到猜测的黑客 画像 :
此人参加过CTF(网络安全竞赛)
Youtube上制作过黑客教程
传播过PHP恶意程序
活跃于黑客网站论坛
来自阿尔及利亚
找到此人常用EMAIL地址
找到此人的照片
在网络搜索引擎cache中找到疑似 黑客照片 :
整个溯源分析过程如下:
目前,被挂马的URL已经失效,其使用的比特币地址也未收到任何能表明与敲诈有关的转账。鉴于这次传播未造成特别大的影响,这里并没有公开黑客身份。
腾讯反病毒实验室再次向广大网友强调,不要向敲诈勒索者都支付任何赎金,因为你也无法确定赎金是支付给了WannaCry的黑客还是支付给了借势骗钱的黑客。这很 可能 是一次无论是否支付赎金都不能挽回损失的敲诈勒索。
|