搜索
查看: 3387|回复: 15
收起左侧

[技术原创] 追根溯源: incaseformat删文件病毒数年蛰伏或源于精心策划

[复制链接]
火绒工程师
发表于 2021-1-15 07:28:19 | 显示全部楼层 |阅读模式
本帖最后由 火绒工程师 于 2021-1-15 07:41 编辑

【快讯】
1月13日, incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。火绒工程师在该事件首次报告的逆向分析中,推测病毒程序制作存在错误,导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是,通过火绒威胁情报系统以及样本分析,火绒工程师再次对病毒深度溯源发现,该病毒蛰伏至今才爆发,或为攻击者的精心策划。

根据火绒工程师分析,该病毒存在至少两个变种。推测第一个变种为原作者所做的原始病毒,最早可追溯至2009年,其爆发时间为2010年4月1日。从仅一年的潜藏时间和选择的爆发日期(愚人节)来看,不排除是原作者测试病毒的可能性。第二个则为黑客篡改后的变种,最早可追溯至2014年,并被设置在2021年1月13日爆发。




对比两个变种病毒可以发现,两者在核心代码逻辑中仅有一处数据被篡改。这种篡改的方式极其细微隐蔽,更像是精心策划,目的或是为了引导病毒分析人员误以为病毒程序出现bug,增加潜伏的机会,以便继续扩散危害。



图:两个变种病毒出现与爆发时间点

同时,通过深度溯源可以发现,在此前关于该病毒事件的众多分析报告中,不同厂商对该病毒的追溯日期偏差(包括2009年、2014年等)实际上源自对该病毒两个不同变种的混淆。实际上,火绒基于自主反病毒引擎,能够同时查杀两个变种的全部样本。

被篡改的病毒利用文件名获得用户信任躲避查杀,加上超长潜伏期的传播积累,导致感染量持续增长,并于在今年1月13日突然大范围爆发,达到了严重程度。而根据“火绒终端威胁情报系统”监测,也证实在2020年5月以后,被篡改的病毒样本的传播量有显著上升趋势。



一个隐藏七年的老病毒,在攻击者预期的时间里集中爆发,并企图隐瞒、误导对其追溯分析的病毒分析人员,这也给广大安全从业者敲响警钟,在与病毒、黑客的对抗中,需要更加严谨和全面,才能给用户提供可靠的保障。

附:【分析报告】

一、详细分析
通过对incaseformat病毒的溯源,我们发现之前分析报告中推测的该病毒之所以潜伏数年并在2021年1月13日触发删除文件的攻击逻辑,或并非bug导致,而是攻击者精心设计。

通过对火绒捕获的incaseformat病毒同源样本进行梳理,我们发现该病毒至少有两个变种在野进行传播。其中一个变种最早可以追溯到2009年,该病毒变种会在2010年4月1日(愚人节)触发删除文件逻辑;而另一个变种则目前可追溯的出现时间为2014年,该变种为黑客在原始变种基础上通过人为篡改得到,该变种通过人为篡改推迟了攻击逻辑,可在时隔7年后的2021年1月13日触发攻击逻辑。

由于被篡改后的病毒样本在之后一直处于潜伏状态,且不易被用户发现,导致该病毒大肆传播,并在2021年1月13日造成了大范围不良影响。两个变种病毒传播与病毒行为触发时间线,如下图所示:


病毒传播与恶意行为触发时间线


VirusTotal检索原始样本提交信息


VirusTotal检索被篡改样本提交信息

通过对火绒捕获的全部incaseformat同源样本进行梳理,我们发现被篡改样本的数量远大于原始样本数量,两者相差将近79倍。即在野传播的该蠕虫病毒样本中,有接近99%的样本均为被篡改后样本。相关样本数量情况,如下图所示:


原始样本与被篡改后样本数量情况

通过排除被感染型病毒感染或带有感染型残留数据等无效样本情况后发现,被篡改的病毒样本数量从2014年开始整体呈波动上升趋势且于2020年5月开始出现“井喷”式增长。该病毒数量增长趋势与其潜伏期长、集中“发作”、破坏性强等特性,使得此次事件受波及用户广且用户感知强烈。病毒增长趋势,如下图所示:


被篡改后的病毒增长趋势图

通过二进制对比两个病毒变种,发现在核心代码逻辑中仅有一处数据被篡改且极有可能是直接通过二进制的方式进行修改。篡改的位置为Sysutils::DateTimeToTimeStamp库函数所使用的全局变量IMSecsPerDay(一天的总毫秒数),从而影响最终触发删除文件逻辑的时间点。
分析人员在分析病毒样本时,通常会信任库函数代码,而把注意力集中用户代码上。因此这样的运行时库函数篡改很容易被分析人员忽视,从而掩饰病毒的真正意图。被篡改前后的病毒样本代码及数据对比,如下图所示:


被篡改前后的病毒样本代码及数据对比图

被篡改前后的病毒样本在判断触发日期代码相同,具体如下图所示:


被篡改前后的病毒样本在判断触发日期代码相同

二、附录

原始病毒hash


被篡改后的病毒hash








本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
喀反 + 3 版区有你更精彩: )

查看全部评分

wowocock
发表于 2021-1-15 09:41:53 | 显示全部楼层
1天的毫秒数为 60*60*24*1000 = 86400000是正常人的思维。

评分

参与人数 1人气 +1 收起 理由
396805331 + 1 版区有你更精彩: )

查看全部评分

dg1vg4
发表于 2021-1-15 09:43:34 | 显示全部楼层
那么,为什么是2020年5月份开始加速传播?
病毒作者的最终目的只是为了炫技?还是为了好好教育一下那些鼓吹杀软无用,电脑裸奔的人?
dsb2466
发表于 2021-1-15 11:03:15 | 显示全部楼层
这病毒让我想起了前段时间【被流行】起来的“WannRen”,某些厂商人造热点的能力越来越厉害了
dg1vg4
发表于 2021-1-15 16:58:23 来自手机 | 显示全部楼层
dsb2466 发表于 2021-1-15 11:03
这病毒让我想起了前段时间【被流行】起来的“WannRen”,某些厂商人造热点的能力越来越厉害了

话不能这么说啊,这回是真有企业中招了,虽然各种意义上来说都是报应。
Daigo
发表于 2021-1-15 18:28:50 | 显示全部楼层
经常重装系统,没有中招
SUARP-BIGNUM
发表于 2021-1-16 14:03:10 | 显示全部楼层
精心谋划的病毒
swizzer
发表于 2021-1-16 21:56:34 | 显示全部楼层
有时间“精心策划”触发日期,还不如写个私有壳来的实在。。。

况且用计算器三五秒就能搞定的事,能叫精心吗
evilrabbit
发表于 2021-1-17 17:29:00 | 显示全部楼层
swizzer 发表于 2021-1-16 21:56
有时间“精心策划”触发日期,还不如写个私有壳来的实在。。。

况且用计算器三五秒就能搞定的事,能叫精 ...

私有壳哪有这么轻松。 不用开源的代码,自己搞个算法,没那么容易吧
swizzer
发表于 2021-1-17 22:26:06 | 显示全部楼层
evilrabbit 发表于 2021-1-17 17:29
私有壳哪有这么轻松。 不用开源的代码,自己搞个算法,没那么容易吧

没看懂我的意思吗?

我说的是这个病毒更改计数周期很轻松,拖到计算器里算一下就行了···
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-4-11 23:05 , Processed in 0.137527 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表