V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
idler
V2EX  ›  问与答

不知这么推断合理不?从 WannaCry 大陆感染情况侧写国家防火墙的作用对象

  •  
  •   idler · 2017-05-14 11:18:53 +08:00 · 4577 次点击
    这是一个创建于 2751 天前的主题,其中的信息可能已经有所发展或是发生改变。

    依据:

    1. 目前流行的勒索软件几乎都要通过 tor 来隐匿 C2 服务器的信息
    2. 勒索软件需要连接 C2 服务器生成密钥对来加密本地的密钥,展示勒索信息,从而实现勒索。如果没有服务器上的公钥加密,受害者只要找到本地未加密密钥就可以解密了
    3. 目前没发现 wannacry 有 DNS tunneling 行为
    4. 大陆封锁了 tor
    5. 大陆仍然有被感染的情况

    推断 1:

    大陆被感染的电脑是可以不受限访问 tor 网络的


    推断 2:

    根据目前已知的被感染的情况来判断,教育网、公安系统网络应该是没墙的。中石油可能也没墙(黑人问号脸.jpg )。也可能有宿主开着 VPN 的情况。只是开着 socks 代理是不行的,wannacry 没有自动找前置代理的行为。当然,ISP 封堵端口,和清华主动封堵端口一样,导致没有证据判断一些个人用户和组织的网络情况


    推断也许对一些人来说是常识,不过通过此次事件侧面印证了一下。不知依据是否有误,推断是否合理?

    16 条回复    2017-05-14 23:26:18 +08:00
    bilok
        1
    bilok  
       2017-05-14 11:32:42 +08:00   ❤️ 1
    GA 网跟教育网不一样,是物理隔绝的,只在互联网与内网有交换机,
    你想象一下一大群 XP 电脑接入互联网 还不受 GFW 影响是什么感觉

    感觉病毒应该是有降级策略
    看到许多中东国家也有感染的情况,说明应该在无法连接 tor 的情况有备选方案?
    geelaw
        2
    geelaw  
       2017-05-14 11:34:06 +08:00
    但是我觉得没有理由要在本地加密密钥吧……

    一个说法(出自微博 萌娘百科更新姬,但是该微博已经删除)是病毒会把密钥通过 tor 传输给服务器,但是因为被墙了,所以加密完成后就会导致密钥永远丢了?
    deeporist
        3
    deeporist  
       2017-05-14 11:45:15 +08:00
    依据 4 就错了吧 什么叫封锁 tor ?只是尽可能多的对大陆屏蔽了 tor 的网桥节点 病毒作者自己开一个新的 ip 做网桥应该也是可以的吧(题外话:现在我猜 gfw 根本不想再去破解加密协议了 高级协议它破不开的干脆直接全掐掉 所以现在除了加密还需要混淆伪装成"良民"流量) 再说了感染路径没必要一定从 tor 出来吧 把病毒从公网上散出去 收钱的时候再要求你走 tor 也是可以的吧
    muziki
        4
    muziki  
       2017-05-14 11:48:40 +08:00
    运营商提前把端口封了啊,跟 gfw 咋扯上关系的
    techyan
        5
    techyan  
       2017-05-14 11:59:38 +08:00 via Android
    前提是 Tor 被封了。

    然而并没有。仍然有依赖于 AWS 和 Azure 等长城不敢封的云服务弄出来的 meek 网桥可直接连接。
    121121121
        6
    121121121  
       2017-05-14 12:03:16 +08:00
    smb 协议漏洞,一般单位没有那么大的局域网
    idler
        7
    idler  
    OP
       2017-05-14 12:04:23 +08:00
    @bilok 哦是这样。如果没用 tor 的话或许有机会找到 C2 主机?

    @geelaw 更新姬是说病毒把文件加密后没有从服务器获得任何信息就会主动销毁密钥么?我不清楚病毒是否有这个行为,我不过我觉得从经济角度上看这样做不利于受害者支付赎金,如同电话打不通就强行撕票。

    @deeporist 如果是病毒作者新架的网桥,那差不多等于暴露自己踪迹了吧。另外不用 meek 的话流量很容易识别,新网桥被墙也很快。只是跟 C2 服务器通信的时候走 tor,感染主要利用 SMB 的漏洞吧。
    idler
        8
    idler  
    OP
       2017-05-14 12:06:16 +08:00   ❤️ 1
    @techyan 应该是没有用 meek

    https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi

    2) The transport used on all Tor nodes is not obfuscated and is not using modern Tor meek and Obfs4. This means traffic is relatively easy to distinguish in corporate environment, you don't even need a DPI to do that.
    geelaw
        9
    geelaw  
       2017-05-14 12:06:55 +08:00
    @idler

    并不是“主动销毁”吧,我觉得只是“忘记”了?譬如密钥用完之后你一重启,那就跪了?既然黑客放出毒株的时候还留了那个“滚键盘域名”的后门,我觉得黑客搞传输密钥的逻辑可能没有特别小心,不小心弄丢密钥也是可能的。
    codehz
        10
    codehz  
       2017-05-14 12:12:40 +08:00
    公钥加密,私钥解密。。。非对称加密并不需要专门弄到啥。。。公钥直接放病毒里面就可以了。。。tor 估计是用来远程控制的。。。
    anyele
        11
    anyele  
       2017-05-14 12:16:27 +08:00
    国家防火墙是用来禁止屁民看反动信息的
    idler
        12
    idler  
    OP
       2017-05-14 12:29:29 +08:00
    @codehz 咱们可能对其工作原理有不同理解。公钥不需要单独生成么?如果加密密钥的公钥都是同一个,那只要一个人支付赎金后分享密钥别人就都可以解密了不是嘛。。。我理解的是,tor 确实是用于远程控制的,用来连接 command & control 服务器获取针对特定宿主公钥,不负责传播病毒
    CYKun
        13
    CYKun  
       2017-05-14 14:39:18 +08:00 via Android
    应该是在被感染机器本地生成加密密钥和解密密钥,然后用病毒中保存的病毒作者的公钥对解密密钥进行加密后上传给病毒作者。
    acess
        14
    acess  
       2017-05-14 23:01:02 +08:00   ❤️ 1
    @geelaw 360 已经出分析了:
    http://bobao.360.cn/learning/detail/3853.html
    真是丧病,每一台受害机器都用新生成的 RSA 密钥对,而且每一个文件都用新生成的 AES 密钥,如果做得点水不漏,就算 dump 内存都只能解救一个文件。
    acess
        15
    acess  
       2017-05-14 23:22:58 +08:00
    根据这篇分析,病毒开始加密时并不需要回传密钥,只有在检查赎金是否支付时才需要连上 Tor,然后透过 Tor 检查是否已经支付赎金、上传加密过的 RSA 私钥。
    acess
        16
    acess  
       2017-05-14 23:26:18 +08:00
    360 已经出了一个“ 360 勒索蠕虫病毒文件恢复工具”。好像是个反删除工具,利用了勒索者忘记擦除未加密文件的疏漏。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2687 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 03:58 · PVG 11:58 · LAX 19:58 · JFK 22:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.