WannaCry勒索病毒其實很業餘？

分類＼手機
時間＼2017-05-18

編者按：WannaCry勒索病毒會對受害者機器檔進行加密，如果不交出贖金的話所有資料將化為烏有。這引發了全球範圍的恐慌，但安全研究人員發現，病毒背後的製造者其實犯了一連串的低級錯誤，而且其獲益極其有限。就勒索的專業水準而言，這完全是一次徹底地災難性事故。有人懷疑，這次行動的目的不在金錢，而是讓NSA難堪。

WannaCry勒索軟體攻擊迅速變成了近年來衝擊互聯網的最糟糕的一場數位災難，對全球的交通和醫院系統造成了嚴重後果。但情況愈發顯示出這並非駭客行家的作品。相反，網路安全調查者在這次災難中看到的是一次草率的網路犯罪計畫，幾乎在每一個節點都暴露出了業餘水準的錯誤。

隨著WannaCry（或Wcrypt）這款史無前例的勒索軟體攻擊的展開，網路安全團體開始對該惡意軟體作者犯下的令人費解的錯誤感到好奇。這次攻擊利用了NSA創建的Windows駭客技巧，感染了150個國家超過20萬套系統，儘管它留下了巨大的足跡，但惡意軟體分析師說WannaCry創作者做出的糟糕選擇既限制了它的攻擊範圍，也影響了它的獲利。

這些錯誤包括嵌入了一個基於web的“殺戮開關”從而影響了病毒的傳播，對比特幣支付的處理相當不熟練，使得跟蹤該駭客團體的利潤情況變得容易很多，裡面甚至還有一個做得很差勁的贖金功能。一些分析師說該系統使得犯罪分子不可能獲知究竟是誰或沒有支付贖金。

這種錯漏百出的攻擊仍然造成了那麼大的損失，這不僅讓人清醒地意識到：如果真正專業的犯罪分子改進了這個駭客團體的手段，那麼結果將不堪設想。

有哪些業餘錯誤？

最新統計顯示，WannaCry幕後的團體從這次攻擊當中賺到的錢只是55000美元多一點，跟動輒幾百萬美元的專業秘密勒索軟體產生的利潤相比只不過是毛毛雨。思科Talos團隊的網路安全研究人員Craig Williams說：“從勒索的角度來說，這是一次災難性事故。高破壞性，非常高的曝光度，非常高的執法可見性，而它的利潤率可能比我們見過的任何一般甚至小規模的勒索行動都要低。”

安全公司Hacker House 的研究人員Matthew Hickey說，獲利這麼少的部分原因可能是因為WannaCry做出來的贖金功能只是勉強能用。Hickey週末的時候研究了WannaCry的代碼，發現該惡意軟體並沒有通過分配唯一比特幣位址來自動驗證特定受害者是否支付了要求的價值300美元的比特幣贖金。相反，它提供額度只是硬編碼進來的4個比特幣位址之一，這意味著受到的支付並沒有身份細節，從而也就無法對解密過程進行自動化。相反，當贖金入帳時犯罪分子自己得找出要對哪一台電腦進行解密，鑒於受感染的設備量達到了數十萬，光靠人力顯然是難以為繼的。Hickey說：“另一頭其實是手工過程，而且必須有人確認並發出金鑰。”

Hickey警告說這種做法不可避免會導致犯罪分子無法對電腦進行解密，哪怕是收到了贖金之後。他說他一直在監控一名受害者，此人12小時前就已經支付了贖金，但至今仍未收到解密的金鑰。Hickey說：“他們其實並沒有為這種規模的爆發做好準備。”

惡意軟體裡面只用了4個硬編碼的比特幣位址不僅會導致支付問題，而且還會令安全團體和執法部門跟蹤兌現WannaCry贓款的任何嘗試容易得多。比特幣的公共會計總帳，也就是所謂的區塊鏈上所有的比特幣交易都是可見的。

Errata Security的安全顧問Rob Graham說：“這看起來極其令人印象深刻，因為你以為能把NSA漏洞利用集成進病毒裡面的人一定是聰明絕頂的代碼寫手。但世上，這幫人就只懂這些了，除此以外他們就是空架子。他們把比特幣位址硬編碼進去，而不是每受害者一個比特幣地址，這表明他們的思考能力有限。”

思科研究人員說他們發現該勒索軟體的一個“檢查支付”按鈕實際上並不檢查任何比特幣是否已經發出。相反，Williams說，它只是隨機提供4個回答中的1個——其中3個是假冒的錯誤資訊，而另一個是“解密”的資訊，但也是假冒的。如果駭客加密了任何人的檔的話，Williams認為對方是通過惡意軟體的“聯絡”按鈕人工與受害者溝通來進行解密的，或者隨便給一些用戶發送金鑰，讓受害者發生幻覺，以為支付贖金的確讓他們的檔得到解放。而且跟更完善和自動化的勒索軟體相比，這種差勁的做法幾乎不會有什麼人有付款的動機。Williams說：“這破壞了整個令勒索軟體有效的信任模型。”

規模重於實質

公平而言，WannaCry的傳播速度和規模是此前的勒索軟體所不能比的。它利用了最近NSA洩露的一個Windows漏洞，叫做永恆之藍（EternalBlue），製造了惡意加密迄今最糟糕的一場大瘟疫。

但就算只是從傳播能力上來評判，WannaCry的創作者也犯下了巨大錯誤。他們令人費解地在代碼裡面植入了一個“殺戮開關”，旨在通過這個開關訪問某個獨特的web位址，然後在進行一次成功連接之後遮罩其加密負荷。研究人員懷疑這一功能可能是一項秘密舉措，為的是避免代碼在虛擬測試機器中運行時被偵測到。但這也導致一位化名MalwareTech的匿名研究人員只需註冊該獨特功能變數名稱即可避免對受害者檔進一步的鎖定。

週末之後，一個帶有不同“殺戮開關”位址的新版WannaCry出現了。幾乎與此同時，安全研究人員Matt Suiche也註冊了這個功能變數名稱，令這個改進版病毒的傳播被打斷了。Suiche無法想像為什麼這些駭客還沒有用隨機的方式生成URL，而是在贖金軟體中植入靜態位址。Suiche說：“我找不到任何明顯的解釋來說明為什麼裡面仍然有一個殺戮開關。”同樣的錯誤犯了兩次，尤其是這相當於把WannaCry幹掉了，這麼做簡直是毫無意義。他說：“這似乎是一個邏輯bug”。

所有這一切都極大限制了WannaCry的獲利，儘管該勒索軟體已經導致了醫院救命設備的關停和列車、ATM以及地鐵系統的癱瘓。與目前為止他們5位數的收益相比，思科的Williams指出，之前沒那麼出名的一次名為Angler的勒索行動在2015年被終止的1年之前估計拿到了6000萬美元。

實際上，WannaCry導致了那麼大的傷害收到的利潤卻那麼少以至於一些研究人員開始懷疑這項計畫的目的根本就不是賺錢。相反，他們懷疑這也許是有人想利用NSA洩露駭客工具造成的破壞來令NSA難堪——原先偷走這些工具的Shadow Brokers可能也是這個目的。Hacker House的Hickey說：“我絕對認為這次是有人故意想造成盡可能大的破壞。”

鑒於NSA對WCry的抨擊以及遮罩該勒索軟體只容易，合理的推斷是這是出於政治目的而不是金錢。

— Don A. Bailey (@DonAndrewBailey)

認為#Wannacry 與shadowbrokers背後的某人存在關聯的人不在少數。

— Stefan Esser (@i0n1c)

猜測歸猜測，駭客的蹩腳辦法還給我們帶來另一個教訓：一次更加專業的操作可能改進WannaCry的技術，從而造成比這大得多的損害。思科的Williams說，蠕蟲基於網路的自我傳播加上勒索軟體的潛在有利可圖是不會消失的。

他說：“這顯然是惡意軟體的下一代演進。肯定會吸引別人的效仿。在擴散瘟疫以及從中牟利方面，下一波犯罪分子可能會嫺熟得多。”

（文/ boxi ）

（發佈/韋康）