WannaCry勒索病毒犯錯之業(yè)余令高手很想哭

責任編輯：editor007 作者：boxi |來源：企業(yè)網D1Net 2017-05-16 21:24:24 本文摘自：36kr

編者按：WannaCry勒索病毒會對受害者機器文件進行加密，如果不交出贖金的話所有數(shù)據(jù)將化為烏有。這引發(fā)了全球范圍的恐慌，但安全研究人員發(fā)現(xiàn)，病毒背后的制造者其實犯了一連串的低級錯誤，而且其獲益極其有限。就勒索的專業(yè)水平而言，這完全是一次徹底地災難性事故。有人懷疑，這次行動的目的不在金錢，而是讓NSA難堪。

WannaCry勒索軟件攻擊迅速變成了近年來沖擊互聯(lián)網的最糟糕的一場數(shù)字災難，對全球的交通和醫(yī)院系統(tǒng)造成了嚴重后果。但情況愈發(fā)顯示出這并非黑客行家的作品。相反，網絡安全調查者在這次災難中看到的是一次草率的網絡犯罪計劃，幾乎在每一個節(jié)點都暴露出了業(yè)余水平的錯誤。

隨著WannaCry（或Wcrypt）這款史無前例的勒索軟件攻擊的展開，網絡安全團體開始對該惡意軟件作者犯下的令人費解的錯誤感到好奇。這次攻擊利用了NSA創(chuàng)建的Windows黑客技巧，感染了150個國家超過20萬套系統(tǒng)，盡管它留下了巨大的足跡，但惡意軟件分析師說WannaCry創(chuàng)作者做出的糟糕選擇既限制了它的攻擊范圍，也影響了它的獲利。

這些錯誤包括嵌入了一個基于web的“殺戮開關”從而影響了病毒的傳播，對比特幣支付的處理相當不熟練，使得跟蹤該黑客團體的利潤情況變得容易很多，里面甚至還有一個做得很差勁的贖金功能。一些分析師說該系統(tǒng)使得犯罪分子不可能獲知究竟是誰或沒有支付贖金。

這種錯漏百出的攻擊仍然造成了那么大的損失，這不僅讓人清醒地意識到：如果真正專業(yè)的犯罪分子改進了這個黑客團體的手段，那么結果將不堪設想。

有哪些業(yè)余錯誤？

最新統(tǒng)計顯示，WannaCry幕后的團體從這次攻擊當中賺到的錢只是55000美元多一點，跟動輒幾百萬美元的專業(yè)秘密勒索軟件產生的利潤相比只不過是毛毛雨。思科Talos團隊的網絡安全研究人員Craig Williams說：“從勒索的角度來說，這是一次災難性事故。高破壞性，非常高的曝光度，非常高的執(zhí)法可見性，而它的利潤率可能比我們見過的任何一般甚至小規(guī)模的勒索行動都要低。”

安全公司Hacker House 的研究人員Matthew Hickey說，獲利這么少的部分原因可能是因為WannaCry做出來的贖金功能只是勉強能用。Hickey周末的時候研究了WannaCry的代碼，發(fā)現(xiàn)該惡意軟件并沒有通過分配唯一比特幣地址來自動驗證特定受害者是否支付了要求的價值300美元的比特幣贖金。相反，它提供額度只是硬編碼進來的4個比特幣地址之一，這意味著受到的支付并沒有身份細節(jié)，從而也就無法對解密過程進行自動化。相反，當贖金入賬時犯罪分子自己得找出要對哪一臺計算機進行解密，鑒于受感染的設備量達到了數(shù)十萬，光靠人力顯然是難以為繼的。Hickey說：“另一頭其實是手工過程，而且必須有人確認并發(fā)出密鑰。”

Hickey警告說這種做法不可避免會導致犯罪分子無法對計算機進行解密，哪怕是收到了贖金之后。他說他一直在監(jiān)控一名受害者，此人12小時前就已經支付了贖金，但至今仍未收到解密的密鑰。Hickey說：“他們其實并沒有為這種規(guī)模的爆發(fā)做好準備。”

惡意軟件里面只用了4個硬編碼的比特幣地址不僅會導致支付問題，而且還會令安全團體和執(zhí)法部門跟蹤兌現(xiàn)WannaCry贓款的任何嘗試容易得多。比特幣的公共會計總賬，也就是所謂的區(qū)塊鏈上所有的比特幣交易都是可見的。

Errata Security的安全顧問Rob Graham說：“這看起來極其令人印象深刻，因為你以為能把NSA漏洞利用集成進病毒里面的人一定是聰明絕頂?shù)拇a寫手。但世上，這幫人就只懂這些了，除此以外他們就是空架子。他們把比特幣地址硬編碼進去，而不是每受害者一個比特幣地址，這表明他們的思考能力有限。”

思科研究人員說他們發(fā)現(xiàn)該勒索軟件的一個“檢查支付”按鈕實際上并不檢查任何比特幣是否已經發(fā)出。相反，Williams說，它只是隨機提供4個回答中的1個——其中3個是假冒的錯誤信息，而另一個是“解密”的信息，但也是假冒的。如果黑客加密了任何人的文件的話，Williams認為對方是通過惡意軟件的“聯(lián)絡”按鈕人工與受害者溝通來進行解密的，或者隨便給一些用戶發(fā)送密鑰，讓受害者發(fā)生幻覺，以為支付贖金的確讓他們的文件得到解放。而且跟更完善和自動化的勒索軟件相比，這種差勁的做法幾乎不會有什么人有付款的動機。Williams說：“這破壞了整個令勒索軟件有效的信任模型。”

規(guī)模重于實質

公平而言，WannaCry的傳播速度和規(guī)模是此前的勒索軟件所不能比的。它利用了最近NSA泄露的一個Windows漏洞，叫做永恒之藍（EternalBlue），制造了惡意加密迄今最糟糕的一場大瘟疫。

但就算只是從傳播能力上來評判，WannaCry的創(chuàng)作者也犯下了巨大錯誤。他們令人費解地在代碼里面植入了一個“殺戮開關”，旨在通過這個開關訪問某個獨特的web地址，然后在進行一次成功連接之后屏蔽其加密負荷。研究人員懷疑這一功能可能是一項秘密舉措，為的是避免代碼在虛擬測試機器中運行時被偵測到。但這也導致一位化名MalwareTech的匿名研究人員只需注冊該獨特域名即可避免對受害者文件進一步的鎖定。

周末之后，一個帶有不同“殺戮開關”地址的新版WannaCry出現(xiàn)了。幾乎與此同時，安全研究人員Matt Suiche也注冊了這個域名，令這個改進版病毒的傳播被打斷了。Suiche無法想象為什么這些黑客還沒有用隨機的方式生成URL，而是在贖金軟件中植入靜態(tài)地址。Suiche說：“我找不到任何明顯的解釋來說明為什么里面仍然有一個殺戮開關。”同樣的錯誤犯了兩次，尤其是這相當于把WannaCry干掉了，這么做簡直是毫無意義。他說：“這似乎是一個邏輯bug”。

所有這一切都極大限制了WannaCry的獲利，盡管該勒索軟件已經導致了醫(yī)院救命設備的關停和列車、ATM以及地鐵系統(tǒng)的癱瘓。與目前為止他們5位數(shù)的收益相比，思科的Williams指出，之前沒那么出名的一次名為Angler的勒索行動在2015年被終止的1年之前估計拿到了6000萬美元。

實際上，WannaCry導致了那么大的傷害收到的利潤卻那么少以至于一些研究人員開始懷疑這項計劃的目的根本就不是賺錢。相反，他們懷疑這也許是有人想利用NSA泄露黑客工具造成的破壞來令NSA難堪——原先偷走這些工具的Shadow Brokers可能也是這個目的。Hacker House的Hickey說：“我絕對認為這次是有人故意想造成盡可能大的破壞。”