——
现实生活疫情病毒继续狡猾生存,
2021开年「Incaseformat」蠕虫病毒突袭,
网络世界是否存在免疫空间?
——
本月13日起,安全业界陆续发布「Incaseformat」蠕虫病毒大规模破坏的风险通告。阿里云安全对多个源头披露的病毒样本进行了分析,确认该病毒属于 PC 时代「常见的」本地型破坏病毒,且2009年就已经存在。受影响的电脑均表现为「裸奔」状态,未部署防病毒和安全软件。
该病毒主要依赖「U盘」等移动介质和文件压缩包分发形式进行传播,云上主机默认「不受该传播方式影响」。主流的安全软件已经能够对其进行查杀,建议您及时升级系统、更新补丁,并部署一定的安全防护软件,如:通过部署 UEM 产品开启U盘禁用功能,提升系统的安全免疫能力。
以下基于阿里云威胁情报能力,为用户呈现尽量全貌、细致的病毒分析,帮助更深层的研究和后续预防工作。病毒分析还原
由于市面所有病毒分析报告仅做出样本技术分析,缺乏文件 MD5 等 IoC 信息,在此披露阿里云捕获的病毒母体样本:MD5=1071d6d497a10cef44db396c07ccde65 ,首次上传最早出现在2013年3月的 VirusTotal[1]。
该样本使用 DelphiXE 编译,VirusTotal 集成的 PEiD 识别加壳为 “BobSoft Mini Delphi -> BoB / BobSoft”,实际非加壳。病毒构造一个 TForm 窗体实例,但在 TForm::FormCreate 初始化函数中并不带有窗体相关指令,仅包含恶意代码,从而实现一个无实体的 GUI 程序:
这其中,实现了文件释放、写注册表以持久化自启动、及拉起释放的病毒子进程,并通过设置4个 TForm::Timer 实现独立的定时任务,包括特定日期之后、指定日期等拉起动作:
还包括保留根目录下 incaseformat.log 文件以外清除操作:
“误用”的时间计算常量
多篇分析文章均提到:代码中由攻击者错误设置了一个用于计算时间的常量,才导致实际被激活的时间距离病毒植入时间相去甚远。相关代码如下:
值得注意的是,这实际上并非恶意代码片段,而是引用编译进来的 Delphi 包 Sysutils 中的代码和数据。
对 Delphi 运行时函数的引用,一般通过动态链接 Delphi 的 RTL 动态库实现。而此处以静态链接的方式引用库函数,可能是直接使用了类似 DelphiRTL[2] 的代码方式,并在被引用代码中,故意篡改了默认常量。
这种操作,一方面很可能是为了去除执行环境依赖,这是确保病毒在任意主机可执行的常见形式;另一方面,考虑到该样本设定的首次激活时间为4月1日,合理而有趣的推测——黑客手动篡改了该默认常量(每天分钟数)是严肃地开了一个玩笑。
经过多方信息验证,没有发现社区反映:Delphi 官方运行时或第三方版本有过 Delphi 计算时间戳错误的情况。而且,污染开发库的软件供应链污染似乎也并不符合这个十二年前纯破坏型病毒的特性。
病毒家族性分析
事实上,作为一个堪称“古典”的病毒,该样本既不孤立,也不存在有意图的隐藏。
根据被提取样本特征,阿里云对 VirusTotal 上近3个月公开的历史样本集执行回扫,现已至少发现469个相关样本。除了少量在2013年或更早时间被首次上传,多数样本为近期上传到平台上。
经抽样分析,这些样本具有完全相同的行为与持久化方式。所以毫无意外,样本因始终保持相同特征,VirusTotal 上70款左右的商业杀毒软件中,至少有55款对这些目标发生了报毒。例如,针对2013年首现样本之一,VirusTotal 历史上线的全部引擎中对该样本检出为病毒的引擎数情况如下:
总览全部469个样本,该家族检出率至少从样本初见就已经维持在80%以上,作为成品杀毒引擎对该样本的检出,实属常规预期(以上469个样本 MD5 见文末参考[3])。
云环境病毒检测情况披露
阿里云同时对云上主机已知样本进行特征匹配。经分析,该样本的执行生效并不局限于 PC 端 Windows 环境,在 Windows Server 系统上同样可生效。但该样源于U盘病毒传播(仅能通过设定为U盘的自动播放程序生效),在云端并不具备传染介质和途径,因此缺乏持久化能力,云上环境实现天然免疫。
截至目前,全云范围仅发现2例相关样本存在,阿里云对 Incaseformat 蠕虫病毒检测排查情况如下:
· 样本发现
共发现2例样本,历史上共涉及15个用户和15台主机。
· 活跃状态
根据该病毒需要释放到 C:\Windows 下才能生效的特性,以特定文件名(tsay.exe、ttry.exe)执行生效逻辑判断病毒恶意行为是否生效,共12个用户、12台主机曾发生过执行动作;
但由于两例样本首次(2018年12月27日)在云上出现,即被阿里云自动检出并防御,因此病毒无法运行;
在受影响的主机上,以样本执行时间和进程快照采集时间维度观察,一台主机于去年11月有病毒文件植入,其进程最后活跃时间为1月2日;
其余主机上的病毒样本,首次采集和最后活跃时间都相同,或执行于一年或更久前,当前均表现为不活跃。
· 下载源推断
所有主机上除指定生效文件名(tsay.exe、ttry.exe)外,相同 MD5 都以其它文件名存在过,因此初步判断是由线下文件或网盘文件引入,并未观察到明确的病毒文件下载源。
· 云环境防御
样本文件成功触发后,原则上在云主机也会执行删文件、持久化动作,云环境主机防护若不开启防御功能,并不天然阻断病毒执行,天然免疫优势更多来自传播链路缺失。
阿里云默认安全环境及产品能力
尽管第一时间判断该“蠕虫”样本在云上不具备传播能力,阿里云安全中心仍然针对该家族性样本,添加了检测并自动阻断能力,可针对病毒的负载释放、拉起和破坏性动作精准防御。
考虑现代化病毒样本变种频繁且狡猾的特点,阿里云对云主机实际发现样本进行对比,再次确认当前该破坏性病毒不存在针对云主机的投放方式。
同时,通过对获取的已有样本进行回扫,添加云安全中心的云查杀功能,确保检测引擎具备对该样本的查杀能力,并对云上发现的2例样本、专有云等环境发现的样本,向用户第一时间推送了检测告警。
针对更复杂的用户场景,阿里云安全已有客户利用 UEM 检测终端上的杀毒软件功能,对未安装用户实现禁止入网,同时支持直接推送杀毒软件静默安装。
关于阿里云安全中心对该样本的第一时间检测、防御结果与处置建议,请参见阿里云先知官方风险通告:《【风险通告】云上 Incaseformat蠕虫病毒风险通告》[4]。
“黑客 bug 导致潜伏爆发”的段子可以留给愚人节,真实用户安全不容半点玩笑。
参 考:
[2]https://github.com/remobjects/DelphiRTL/blob/master/Source/RTL/SysUtils.DateTime.pas
[3]https://github.com/forward-wfw/misc/blob/main/incaseformat.lst.txt
