深度追踪WannaCry源头轶事

2017-06-12 397379人围观 ,发现 21 个不明物体 网络安全

注1:基于隐私问题,本文中隐去黑客相关信息,如有关部门需要,请与腾讯反病毒实验室联系。

注2自WannaCry爆发以来,腾讯反病毒实验室一直在深入跟进整体传播态势,通过各种渠道,汇集各类信息努力深挖敲诈勒索病毒背后的真相。目前,从掌握的数据中,我们发现 一个借势骗钱的黑客,说明目前黑吃黑”现象普遍存在。

WannaCry敲诈勒索病毒从12日全面爆发到今天已过去1个月,通过各个杀毒厂商积极应对,病毒传播趋势有所收敛。但事情远没有结束,通过腾讯反病毒实验室威胁情报数据库中获取的新增样本情况来看,参与敲诈勒索病毒传播的人越来越多,隐匿在各国的黑客们也开始趁机而动,借势骗钱。

黑客目的是什么?

黑客用了哪些手法?

黑客哪里

反病毒实验室工程师通过对新增样本进行详细分析,发现新增样本中出现大量被修改“传播开关”、修改比特币地址的样本。通过对数据进行挖掘,我们找到一个被修改了比特币地址的敲诈勒索样本,此样本与之前爆发的WannaCry为同一文件,除了比特币地址被修改,其他全部保持一致。

下图为12号WannaCry爆发原始样本:

图片2.png 

下图为被修改了比特币地址的样本:

图片3.png 

可以看到,除了比特币地址被修改,其他信息全部一样。

通过对比特币地址的查询,我们发现这个比特币地址交易相对频繁,是个使用时间较久的比特币地址,且与原始WannaCry比特币地址不同的是,WannaCry地址只有收入,没有转出,而这个地址不仅有收入,也有转出。

图片4.png 

经查询,此地址第一笔交易时间是2016年9月15日,因此我们推测,此样本背后黑客应该是想借着WannaCry的爆发,浑水摸鱼,趁机捞一把。根据掌握的信息,我们准备挖出此样本背后的黑客。

图片5.png

通过在腾讯反病毒实验室威胁情报数据库中检索,我们找到此样本的原始下载链接,访问链接中的网址后,我们确认这是一家塑料化工工厂的官方网站,网站已经被黑客入侵并挂上了敲诈病毒进行下载扩散。

图片6.png

通过这个URL,在腾讯反病毒实验室哈勃动态行为分析系统中进行检索,找到了访问此URL的原始Downlader样本。

我们对这个Downloader样本进行了详细分析,发现此样本是用PHP语言所写,并转成了EXE可执行文件,由此我们推断,黑客比较熟悉PHP,对PE类可执行文件相对不是非常熟悉。正是由于这个样本是PHP转成的EXE文件,在这个样本中,留下了黑客的指纹。相信,如果黑客对PE文件比较熟悉的话,是绝对不会留下这类指纹的。

在这个Downloader样本的资源数据中,找到黑客电脑路径信息,而此路径中,留有黑客的网络常用名。

图片7.png

溯源追击:

针对恶意软件里泄漏的部分作者相关信息,通过情报系统,整合各方面信息,去寻找幕后的黑手。

情报线索捕获的样本PHP 编写打包成exe格式,作者疏忽留下了一个与作者相关的可疑字符串C*******。

我们在情报系统和网络上搜寻了C******* 这个黑客相关ID 相关信息如下图:

图片8.png

通过获得的信息,基本确认C********  非常可能就是作者常用的ID, 原因如下:

1. 恶意样本包含PHP相关信息,包含路径C******** 

2. 这个ID出现于几个黑客网站和论坛

3. 该ID发布过黑客工具基于PHP开发,说明作者有丰富 的PHP开发经验

为了进一步查找作者,我们继续分析作者以前开发的PHP工具,找到疑似作者用的邮箱

图片9.png 

综合以上挖掘信息,得到猜测的黑客画像

此人参加过CTF(网络安全竞赛)

Youtube上制作过黑客教程

传播过PHP恶意程序

活跃于黑客网站论坛

来自阿尔及利亚

找到此人常用EMAIL地址

找到此人的照片

在网络搜索引擎cache中找到疑似黑客照片

图片10.png

整个溯源分析过程如下:

图片11.png

目前,被挂马的URL已经失效,其使用的比特币地址也未收到任何能表明与敲诈有关的转账。鉴于这次传播未造成特别大的影响,这里并没有公开黑客身份。

腾讯反病毒实验室再次向广大网友强调,不要向敲诈勒索者都支付任何赎金,因为你也无法确定赎金是支付给了WannaCry的黑客还是支付给了借势骗钱的黑客。这很可能是一次无论是否支付赎金都不能挽回损失的敲诈勒索。

腾讯电脑管家目前可以查杀所有WannaCry病毒及变种,请及时开启防护。

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

这些评论亮了

  • 请输入昵称 回复
    这个故事告诉我们:PHP并不是世界上最好的语言
    )46( 亮了
  • 二大爷 回复
    我是看着标题进来的,原来是腾讯电脑管家出来提高知名度,靠!!!
    )40( 亮了
  • xdzj (1级) 回复
    看标题我以为把勒索软件的源头搞出来了,读着读着发现最后跑偏了,这标题起的霸气。^_^
    )23( 亮了
  • aiyy (1级) 睡觉中 回复
    看起来挺厉害的样子
    )20( 亮了
  • CaZaNoVa163 回复
    I am so said.
    )14( 亮了
发表评论

已有 21 条评论

取消
Loading...

特别推荐

关注我们 分享每日精选文章

css.php