吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8597|回复: 68
收起左侧

[PC样本分析] 追根溯源:incaseformat病毒数年蛰伏或源于精心策划

  [复制链接]
火绒安全实验室 发表于 2021-1-15 07:01
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
【快讯】
1月13日, incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。火绒工程师在该事件首次报告的逆向分析中,推测病毒程序制作存在错误,导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是,通过火绒威胁情报系统以及样本分析,火绒工程师再次对病毒深度溯源发现,该病毒蛰伏至今才爆发,或为攻击者的精心策划。

根据火绒工程师分析,该病毒存在至少两个变种。推测第一个变种为原作者所做的原始病毒,最早可追溯至2009年,其爆发时间为2010年4月1日。从仅一年的潜藏时间和选择的爆发日期(愚人节)来看,不排除是原作者测试病毒的可能性。第二个则为黑客篡改后的变种,最早可追溯至2014年,并被设置在2021年1月13日爆发。

图片1.png

对比两个变种病毒可以发现,两者在核心代码逻辑中仅有一处数据被篡改。这种篡改的方式极其细微隐蔽,更像是精心策划,目的或是为了引导病毒分析人员误以为病毒程序出现bug,增加潜伏的机会,以便继续扩散危害。

图片2.png

图:两个变种病毒出现与爆发时间点

同时,通过深度溯源可以发现,在此前关于该病毒事件的众多分析报告中,不同厂商对该病毒的追溯日期偏差(包括2009年、2014年等)实际上源自对该病毒两个不同变种的混淆。实际上,火绒基于自主反病毒引擎,能够同时查杀两个变种的全部样本。

被篡改的病毒利用文件名获得用户信任躲避查杀,加上超长潜伏期的传播积累,导致感染量持续增长,并于在今年1月13日突然大范围爆发,达到了严重程度。而根据“火绒终端威胁情报系统”监测,也证实在2020年5月以后,被篡改的病毒样本的传播量有显著上升趋势。

图片3.png

一个隐藏七年的老病毒,在攻击者预期的时间里集中爆发,并企图隐瞒、误导对其追溯分析的病毒分析人员,这也给广大安全从业者敲响警钟,在与病毒、黑客的对抗中,需要更加严谨和全面,才能给用户提供可靠的保障。

附:【分析报告】
一、详细分析
通过对incaseformat病毒的溯源,我们发现之前分析报告中推测的该病毒之所以潜伏数年并在2021年1月13日触发删除文件的攻击逻辑,或并非bug导致,而是攻击者精心设计。
通过对火绒捕获的incaseformat病毒同源样本进行梳理,我们发现该病毒至少有两个变种在野进行传播。其中一个变种最早可以追溯到2009年,该病毒变种会在2010年4月1日(愚人节)触发删除文件逻辑;而另一个变种则目前可追溯的出现时间为2014年,该变种为黑客在原始变种基础上通过人为篡改得到,该变种通过人为篡改推迟了攻击逻辑,可在时隔7年后的2021年1月13日触发攻击逻辑。
由于被篡改后的病毒样本在之后一直处于潜伏状态,且不易被用户发现,导致该病毒大肆传播,并在2021年1月13日集中“发作”造成了大范围不良影响。两个变种病毒传播与病毒行为触发时间线,如下图所示:

图片4.png
病毒传播与恶意行为触发时间线

图片5.png
VirusTotal检索原始样本提交信息

图片6.png
VirusTotal检索被篡改样本提交信息

通过对火绒捕获的全部incaseformat同源样本进行梳理,我们发现被篡改样本的数量远大于原始样本数量,两者相差将近79倍。即在野传播的该蠕虫病毒样本中,有接近99%的样本均为被篡改后样本。相关样本数量情况,如下图所示:

图片7.png
原始样本与被篡改后样本数量情况

通过排除被感染型病毒感染或带有感染型残留数据等无效样本情况后发现,被篡改的病毒样本数量从2014年开始整体呈波动上升趋势且于2020年5月开始出现“井喷”式增长。该病毒数量增长趋势与其潜伏期长、集中“发作”、破坏性强等特性,使得此次事件受波及用户广且用户感知强烈。病毒增长趋势,如下图所示:

图片8.png
被篡改后的病毒增长趋势图

通过二进制对比两个病毒变种,发现在核心代码逻辑中仅有一处数据被篡改且极有可能是直接通过二进制的方式进行修改。篡改的位置为Sysutils::DateTimeToTimeStamp库函数所使用的全局变量IMSecsPerDay(一天的总毫秒数),从而影响最终触发删除文件逻辑的时间点。
分析人员在分析病毒样本时,通常会信任库函数代码,而把注意力集中用户代码上。因此这样的运行时库函数篡改很容易被分析人员忽视,从而掩饰病毒的真正意图。被篡改前后的病毒样本代码及数据对比,如下图所示:

图片9.png
被篡改前后的病毒样本代码及数据对比图

被篡改前后的病毒样本在判断触发日期代码相同,具体如下图所示:

图片10.png
被篡改前后的病毒样本在判断触发日期代码相同

二、附录
原始病毒hash

图片11.png

被篡改后的病毒hash

图片12.png

免费评分

参与人数 26吾爱币 +26 热心值 +23 收起 理由
IceYoon + 1 我很赞同!
ZZF1949 + 1 用心讨论,共获提升!
qq284603935 + 1 + 1 谢谢@Thanks!
wenhoster + 1 + 1 热心回复!
德の社会 + 1 + 1 谢谢@Thanks!
三字经123 + 1 + 1 谢谢@Thanks!
xiaohanjss + 1 + 1 这么多安全厂商,只有火绒第一时间作出了这么详细的分析并且公布出来,tql
xyh061116 + 1 + 1 谢谢@Thanks!
灵彤 + 1 + 1 我很赞同!
shicui + 1 + 1 感谢火绒安全的长期努力付出!
北极狼Clifton + 1 + 1 用心讨论,共获提升!
jc021227 + 1 + 1 热心回复!
小霖霖 + 1 + 1 我很赞同!
eyeyooo + 1 + 1 谢谢@Thanks!
prxor + 1 热心回复!
复活币都救不了 + 1 + 1 用心讨论,共获提升!
yxdyxd163 + 1 + 1 谢谢@Thanks!
地球守护者 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
wangchenghu98 + 1 + 1 用心讨论,共获提升!
woshicp + 1 + 1 热心回复!
EsIuggg + 1 + 1 我很赞同!
SjZj + 1 + 1 谢谢@Thanks!
zhuzhuxia111 + 1 + 1 我很赞同!
l7518597 + 2 + 1 只装了火绒,死还是活就看火绒的的了
执骨哟 + 1 鼓励转贴优秀软件安全工具和文档!
hi52 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

刀大喵 发表于 2021-1-15 07:17
估计病毒作者都忘了这个病毒
梦入神机 发表于 2021-1-16 12:39
刀大喵 发表于 2021-1-15 07:17
估计病毒作者都忘了这个病毒

病毒作者中了病毒就更好玩了,哈哈
 楼主| 火绒安全实验室 发表于 2021-1-15 09:59
xian54966 发表于 2021-1-15 09:54
既然只有一处数据篡改,那安全软件可以根据之前的特征码就可以识别病毒啊,为什么潜伏这么长时间没被查到?

该病毒大多数安全厂商都可以查杀,此次被删文件的用户,普遍是将该病毒加入了信任区,或者根本没有安装杀毒软件。
aixiu2006 发表于 2021-1-15 07:48







对于这次病毒爆发,应该说是这些年基本没有过的,这期间我看了不少家杀毒软件的论坛,让我对杀毒软件厂家有不同的看法,如果说小白能够解决问题,还需要杀软吗?对,我说的就是这个信任区的问题,我感觉近年来杀软过度依赖信任区白名单,只要用易语言编写的程序好象都免不了被杀。而某些网站上的说法,把责任推给用户我不敢苟同。当然现在杀软免费也是个扯蛋的。
微信图片_20210115073929.png
图片来源:https://bbs.360.cn/thread-15952432-1-1.html

点评

信任区是个有风险的功能,建议一般用户不要随意信任可疑文件,遇到问题可以咨询安全厂商。同时火绒具备“系统免疫”功能,在用户信任的情况下,仍可查杀该病毒。  发表于 2021-1-15 10:01
Lluna 发表于 2021-1-15 12:36
怎么才能获取到样本文件呢

免费评分

参与人数 1吾爱币 +3 收起 理由
JuncoJet + 3 同问,

查看全部评分

SN1t2lO 发表于 2021-1-15 08:20
也许两次投毒根本不是一个人。2020年5月开始出现“井喷”式增长,很可能是某些下载站或者挂站的功劳。
wonathan 发表于 2021-1-15 09:00
我有一个朋友遇见了。幼师, 园里还在用xp的机器,  资料都没了。
 楼主| 火绒安全实验室 发表于 2021-1-15 09:58
吾爱当归 发表于 2021-1-15 09:56
电脑里面只装了火绒可以吗,电脑资料还挺多的,丢了我要抓狂

您好,可以的,火绒可以查杀该病毒。建议如果怀疑有该病毒,可以全盘扫描排查一下。
rose520rain 发表于 2021-1-15 07:43
哈哈😄
WoShiXXX 发表于 2021-1-15 08:00
来这里抢个前排,话说2009和2014年的提交应该是作者测试免杀能力吧
fallre 发表于 2021-1-15 08:25
10年都没重装系统的人很少吧!
李沉舟33 发表于 2021-1-15 08:48
所以说有什么好的预防方法呢?装杀软?

点评

装杀软,不要随意信任可疑文件。说实话这就是个有点特殊的蠕虫病毒,大多数安全厂商都可以杀。只是因为其传播性强,会伪装成正常文件,所以很容易被用户信任。  发表于 2021-1-15 10:03
龍龖龘 发表于 2021-1-15 09:14
如果要是真在7年前故意就埋下了钉子,就太可恶了~~
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-1 07:24

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表