——
現實生活疫情病毒繼續狡猾生存,
2021開年「Incaseformat」蠕蟲病毒突襲,
網絡世界是否存在免疫空間?
——
本月13日起,安全業界陸續釋出「Incaseformat」蠕蟲病毒大規模破壞的風險通告。阿裡雲安全對多個源頭披露的病毒樣本進行了分析,确認該病毒屬于 PC 時代「常見的」本地型破壞病毒,且2009年就已經存在。受影響的電腦均表現為「裸奔」狀态,未部署防病毒和安全軟體。
該病毒主要依賴「U盤」等移動媒體和檔案壓縮包分發形式進行傳播,雲上主機預設「不受該傳播方式影響」。主流的安全軟體已經能夠對其進行清除,建議您及時更新系統、更新更新檔,并部署一定的安全防護軟體,如:通過部署 UEM 産品開啟U盤禁用功能,提升系統的安全免疫能力。
以下基于阿裡雲威脅情報能力,為使用者呈現盡量全貌、細緻的病毒分析,幫助更深層的研究和後續預防工作。 病毒分析還原
由于市面所有病毒分析報告僅做出樣本技術分析,缺乏檔案 MD5 等 IoC 資訊,在此披露阿裡雲捕獲的病毒母體樣本:MD5=1071d6d497a10cef44db396c07ccde65 ,首次上傳最早出現在2013年3月的 VirusTotal[1]。
該樣本使用 DelphiXE 編譯,VirusTotal 內建的 PEiD 識别加殼為 “BobSoft Mini Delphi -> BoB / BobSoft”,實際非加殼。病毒構造一個 TForm 窗體執行個體,但在 TForm::FormCreate 初始化函數中并不帶有窗體相關指令,僅包含惡意代碼,進而實作一個無實體的 GUI 程式:
這其中,實作了檔案釋放、寫系統資料庫以持久化自啟動、及拉起釋放的病毒子程序,并通過設定4個 TForm::Timer 實作獨立的定時任務,包括特定日期之後、指定日期等拉起動作:
還包括保留根目錄下 incaseformat.log 檔案以外清除操作:
“誤用”的時間計算常量
多篇分析文章均提到:代碼中由攻擊者錯誤設定了一個用于計算時間的常量,才導緻實際被激活的時間距離病毒植入時間相去甚遠。相關代碼如下:
值得注意的是,這實際上并非惡意代碼片段,而是引用編譯進來的 Delphi 包 Sysutils 中的代碼和資料。
對 Delphi 運作時函數的引用,一般通過動态連結 Delphi 的 RTL 動态庫實作。而此處以靜态連結的方式引用庫函數,可能是直接使用了類似 DelphiRTL[2] 的代碼方式,并在被引用代碼中,故意篡改了預設常量。
這種操作,一方面很可能是為了去除執行環境依賴,這是確定病毒在任意主機可執行的常見形式;另一方面,考慮到該樣本設定的首次激活時間為4月1日,合理而有趣的推測——黑客手動篡改了該預設常量(每天分鐘數)是嚴肅地開了一個玩笑。
經過多方資訊驗證,沒有發現社群反映:Delphi 官方運作時或第三方版本有過 Delphi 計算時間戳錯誤的情況。而且,污染開發庫的軟體供應鍊污染似乎也并不符合這個十二年前純破壞型病毒的特性。
病毒家族性分析
事實上,作為一個堪稱“古典”的病毒,該樣本既不孤立,也不存在有意圖的隐藏。
根據被提取樣本特征,阿裡雲對 VirusTotal 上近3個月公開的曆史樣本集執行回掃,現已至少發現469個相關樣本。除了少量在2013年或更早時間被首次上傳,多數樣本為近期上傳到平台上。
經抽樣分析,這些樣本具有完全相同的行為與持久化方式。是以毫無意外,樣本因始終保持相同特征,VirusTotal 上70款左右的商業防毒軟體中,至少有55款對這些目标發生了報毒。例如,針對2013年首現樣本之一,VirusTotal 曆史上線的全部引擎中對該樣本檢出為病毒的引擎數情況如下:
總覽全部469個樣本,該家族檢出率至少從樣本初見就已經維持在80%以上,作為成品殺毒引擎對該樣本的檢出,實屬正常預期(以上469個樣本 MD5 見文末參考[3])。
雲環境病毒檢測情況披露
阿裡雲同時對雲上主機已知樣本進行特征比對。經分析,該樣本的執行生效并不局限于 PC 端 Windows 環境,在 Windows Server 系統上同樣可生效。但該樣源于U盤病毒傳播(僅能通過設定為U盤的自動播放程式生效),在雲端并不具備傳染媒體和途徑,是以缺乏持久化能力,雲上環境實作天然免疫。
截至目前,全雲範圍僅發現2例相關樣本存在,阿裡雲對 Incaseformat 蠕蟲病毒檢測排查情況如下:
· 樣本發現
共發現2例樣本,曆史上共涉及15個使用者和15台主機。
· 活躍狀态
根據該病毒需要釋放到 C:\Windows 下才能生效的特性,以特定檔案名(tsay.exe、ttry.exe)執行生效邏輯判斷病毒惡意行為是否生效,共12個使用者、12台主機曾發生過執行動作;
但由于兩例樣本首次(2018年12月27日)在雲上出現,即被阿裡雲自動檢出并防禦,是以病毒無法運作;
在受影響的主機上,以樣本執行時間和程序快照采集時間次元觀察,一台主機于去年11月有病毒檔案植入,其程序最後活躍時間為1月2日;
其餘主機上的病毒樣本,首次采集和最後活躍時間都相同,或執行于一年或更久前,目前均表現為不活躍。
· 下載下傳源推斷
所有主機上除指定生效檔案名(tsay.exe、ttry.exe)外,相同 MD5 都以其它檔案名存在過,是以初步判斷是由線下檔案或網盤檔案引入,并未觀察到明确的病毒檔案下載下傳源。
· 雲環境防禦
樣本檔案成功觸發後,原則上在雲主機也會執行删檔案、持久化動作,雲環境主機防護若不開啟防禦功能,并不天然阻斷病毒執行,天然免疫優勢更多來自傳播鍊路缺失。
阿裡雲預設安全環境及産品能力
盡管第一時間判斷該“蠕蟲”樣本在雲上不具備傳播能力,阿裡雲安全中心仍然針對該家族性樣本,添加了檢測并自動阻斷能力,可針對病毒的負載釋放、拉起和破壞性動作精準防禦。
考慮現代化病毒樣本變種頻繁且狡猾的特點,阿裡雲對雲主機實際發現樣本進行對比,再次确認目前該破壞性病毒不存在針對雲主機的投放方式。
同時,通過對擷取的已有樣本進行回掃,添加雲安全中心的雲清除功能,確定檢測引擎具備對該樣本的清除能力,并對雲上發現的2例樣本、專有雲等環境發現的樣本,向使用者第一時間推送了檢測告警。
針對更複雜的使用者場景,阿裡雲安全已有客戶利用 UEM 檢測終端上的防毒軟體功能,對未安裝使用者實作禁止入網,同時支援直接推送防毒軟體靜默安裝。
關于阿裡雲安全中心對該樣本的第一時間檢測、防禦結果與處置建議,請參見阿裡雲先知官方風險通告:《【風險通告】雲上 Incaseformat蠕蟲病毒風險通告》[4]。
“黑客 bug 導緻潛伏爆發”的段子可以留給愚人節,真實使用者安全不容半點玩笑。
參 考:
[1]
https://www.virustotal.com/gui/file/8c8793eb7c80a09e1542e424ea89c23c195d364892620562e06b3df602890929/detection [2] https://github.com/remobjects/DelphiRTL/blob/master/Source/RTL/SysUtils.DateTime.pas [3] https://github.com/forward-wfw/misc/blob/main/incaseformat.lst.txt [4] https://mp.weixin.qq.com/s/rrDKYt_4MVC5WsZJ0UTK5g