锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
深度追踪WannaCry源头轶事,整个溯源分析过程

作者: 佚名  日期:2017-06-12 18:31:24   来源: 本站整理

  注1:基于隐私问题,本文中隐去黑客相关信息,如有关部门需要,请与腾讯反病毒实验室联系。

注2 : 自WannaCry爆发以来,腾讯反病毒实验室一直在深入跟进整体传播态势,通过各种渠道,汇集各类信息 , 努力深挖敲诈勒索病毒背后的真相。目前,从掌握的数据中,我们发现 了一个借势骗钱的黑客, 说明目前 “ 黑吃黑 ”现象 普遍存在。

WannaCry敲诈勒索病毒从12日全面爆发到今天已过去 近 1个月 ,通过各个杀毒厂商积极应对,病毒传播趋势有所收敛。但事情远没有结束,通过腾讯反病毒实验室威胁情报数据库中获取的新增样本情况来看,参与敲诈勒索病毒传播的人越来越多,隐匿在各国的黑客们也开始趁机而动,借势骗钱。

黑客 目的是什么?

黑客用了 哪些手法?

黑客 来 自 哪里 ?

反病毒实验室工程师通过对新增样本进行详细分析,发现新增样本中出现大量被修改“传播开关”、修改比特币地址的样本。通过对数据进行挖掘,我们找到一个被修改了比特币地址的敲诈勒索样本,此样本与之前爆发的WannaCry为同一文件,除了比特币地址被修改,其他全部保持一致。

下图为12号WannaCry爆发原始样本:

下图为被修改了比特币地址的样本:

可以看到,除了比特币地址被修改,其他信息全部一样。

通过对比特币地址的查询,我们发现这个比特币地址交易相对频繁,是个使用时间较久的比特币地址,且与原始WannaCry比特币地址不同的是,WannaCry地址只有收入,没有转出,而这个地址不仅有收入,也有转出。

经查询,此地址第一笔交易时间是2016年9月15日,因此我们推测,此样本背后黑客应该是想借着WannaCry的爆发,浑水摸鱼,趁机捞一把。根据掌握的信息,我们准备挖出此样本背后的黑客。

通过在腾讯反病毒实验室威胁情报数据库中检索,我们找到此样本的原始下载链接,访问链接中的网址后,我们确认这是一家塑料化工工厂的官方网站,网站已经被黑客入侵并挂上了敲诈病毒进行下载扩散。

通过这个URL,在腾讯反病毒实验室哈勃动态行为分析系统中进行检索,找到了访问此URL的原始Downlader样本。

我们对这个Downloader样本进行了详细分析,发现此样本是用PHP语言所写,并转成了EXE可执行文件,由此我们推断,黑客比较熟悉PHP,对PE类可执行文件相对不是非常熟悉。正是由于这个样本是PHP转成的EXE文件,在这个样本中,留下了黑客的指纹。相信,如果黑客对PE文件比较熟悉的话,是绝对不会留下这类指纹的。

在这个Downloader样本的资源数据中,找到黑客电脑路径信息,而此路径中,留有黑客的网络常用名。

溯源追击:

针对 恶意软件里泄漏的部分作者相关信息,通过情报系统,整合各 方面 信息, 去寻找 幕后的黑手。

情报线索 : 捕获的 样本 为 PHP 编写 打包成exe格式, 作者疏忽 留下了一个与作者相关的 可疑字符串 C *******。

我们 在情报系统和网络上搜寻了C *******   这个 黑客相关ID 的 相关信息如下图:

通过 获得的信息,基本 确认 C ********   非常可能就是 作者常用的ID,  原因如下:

1. 恶意样本包含PHP相关信息,包含路径C********

2. 这个ID出现于几个黑客网站和论坛

3. 该ID发布过黑客工具基于PHP开发,说明作者有丰富 的PHP开发经验

为了 进一步 查找作者 ,我们继续分析作者以前开发的PHP工具,找到疑似作者用的邮箱 。

综合以上 的 挖掘信息,得到猜测的黑客 画像 :

此人参加过CTF(网络安全竞赛)

Youtube上制作过黑客教程

传播过PHP恶意程序

活跃于黑客网站论坛

来自阿尔及利亚

找到此人常用EMAIL地址

找到此人的照片

在网络搜索引擎cache中找到疑似 黑客照片 :

整个溯源分析过程如下:

目前,被挂马的URL已经失效,其使用的比特币地址也未收到任何能表明与敲诈有关的转账。鉴于这次传播未造成特别大的影响,这里并没有公开黑客身份。

腾讯反病毒实验室再次向广大网友强调,不要向敲诈勒索者都支付任何赎金,因为你也无法确定赎金是支付给了WannaCry的黑客还是支付给了借势骗钱的黑客。这很 可能 是一次无论是否支付赎金都不能挽回损失的敲诈勒索。



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等