当微软(Microsoft)本月早些时候透露,中国间谍正在进行一场具有历史意义的大规模黑客活动时,观察人士有理由担心,其他犯罪分子很快就会搭上该组织的顺风车。事实上,这并没有花很长时间:早在3月9日,一种名为DearCry的勒索软件就利用同样的漏洞攻击了Exchange服务器。虽然DearCry是第一个出现在犯罪现场的,但仔细一看,它其实是一只奇怪的网络犯罪鸭子。
这并不是说亲爱的哭泣是独一无二的复杂。事实上,与如今渗透在勒索软件世界的浮油行动相比,它实际上是粗糙的。首先,它很简单,避开了命令控制服务器和自动倒计时,支持直接的人机交互。它缺乏基本的混淆技术,这将使网络防御者更难发现和先发制人地阻止它。它还对某些类型的文件进行加密,这使得受害者很难操作他们的电脑,甚至很难支付赎金。
安全公司Sophos下一代技术工程总监马克•洛曼表示:“通常情况下,勒索软件攻击者不会对可执行文件或DLL文件进行加密,因为这进一步阻碍了受害者使用计算机,而不仅仅是无法访问数据。”“攻击者可能想让受害者使用计算机来转移比特币。”
另一个问题是:“亲爱的哭”与“想哭”(WannaCry)有某些相同的属性。“想哭”是一种臭名昭著的勒索软件蠕虫,在2017年失控传播,直到安全研究员马库斯·哈钦斯(Marcus Hutchins)发现了一个“杀死开关”,在瞬间使其绝种。名字就是其中之一。虽然不是蠕虫,但“亲爱的哭”和“想哭”确实有一些共同的行为方面。两者都在用胡言乱语覆盖目标文件之前复制目标文件。而DearCry添加到泄露文件中的头文件在某些方面与WannaCry的头文件相同。
相似之处是存在的,但可能不值得深入解读。反病毒公司Emsisoft的威胁分析师布雷特•卡洛(Brett Callow)表示:“勒索软件开发者在自己的代码中使用其他更著名的勒索软件的片段,这一点并不罕见。”
卡洛说,不同寻常的是,“DearCry”似乎在失败前起步很快,而勒索软件领域的大玩家似乎还没有自己抓住Exchange服务器的漏洞。
这当然是一种脱节。“DearCry”背后的黑客们以惊人的速度对中国的黑客攻击进行了逆向工程,但他们似乎并不擅长制作勒索软件。这个解释可能只是一个适用技能集的问题。Mandiant威胁情报公司的高级分析经理Jeremy Kennelly说:“开发和武器化攻击与开发恶意软件是非常不同的技术。”“这可能只是因为,那些迅速将网络攻击武器化的参与者只是没有像其他人一样,以同样的方式进入网络犯罪生态系统。他们可能无法进入这些大型联盟程序,这些更强大的勒索软件家族。”
这就像烧烤大师和糕点师之间的区别。两人都在厨房谋生,但他们的技能明显不同。如果你习惯了牛排,但又迫切需要做一个小四,你可能会做出一些可食用但不太优雅的东西。
说到“亲爱的哭”的缺陷,洛曼说:“这让我们相信,这种威胁实际上是由一个初学者制造的,或者这是一种新型勒索软件的原型。”
但这并不意味着它不危险。Kennelly说:“加密算法看起来很健全,它看起来很有效。”他检查了恶意软件的代码,但没有直接处理过感染。“这就是它真正需要做的。”
而DearCry的缺陷,尽管如此,也相对容易解决。卡洛说:“勒索软件通常会随着时间的推移而演变。“如果编码中存在问题,他们会逐步解决。或者有时快速修复它。”
如果没有别的,亲爱的哭泣可以作为即将到来的风险的先兆。安全公司Kryptos Logic在最近一次对微软Exchange服务器的扫描中发现了22,731个网络外壳,每个外壳都代表着黑客投放他们自己的恶意软件的机会。“亲爱的哭泣”可能是第一个利用中国黑客的勒索软件,但几乎可以肯定,它不会是最糟糕的。
