安全路透社
当前位置:安全路透社 > 网络转载 > 正文

由WannaCry对暗网Tor的深入挖掘、分析与思考

*本文原创作者:DarkRayTeam

勒索软件WannaCry的风暴已过去一个多月,但是对它的分析仍是炽手可热,一系列的分析报告中我们发现对WannaCry的暗网Tor的分析却很少,只有安天报告中简单的提到了样本回连中发现了169个Tor节点IP地址和腾讯电脑管家的匿名网络分析。于是我们再次回顾分析了勒索软件的暗网通信,借此对Tor的使用原理及源码进行了深入分析。

1.Wannacry中携带的Tor的分析

勒索软件运行后会释放一些文件,其中c.wnry可以在记事本里打开看到几个.onion地址,这应该就是作者的C&C服务器,用于与受害主机的通信。最后一行应该是Tor的官网下载地址,但是笔者访问不到该地址,并没有6.5.1这个文件夹,只有6.5.2版本的文件夹,这又意味着什么,受害者只能接受作者释放的Tor程序吗还是Tor项目已采取措施了?

14980080088961.png!small

1.1 c.wnry文件内容

14980080207789.png!small

1.2 Tor官网下载地址

病毒运行后,将自动开启9050端口与作者通信,进程中有tasksvc.exe。通过比较释放的taskhsvc.exe和tor.exe的哈希值,发现taskhsvc程序就是tor程序。这样做的目的是为了隐藏Tor,使tor.exe进程不容易被发现。

14980085743684.png!small

1.3 9050端口开启

14980085957768.png!small

1.4 tor.exetaskhsvc.exe的哈希值比较

2.Wannacry中的暗网域名解析机制

一般的域名解析使用DNS服务器进行递归查询,发送一个域名地址到本地域名服务器,如果有缓存可以直接返回,否则交给上级域名服务器递归查询,直到返回IP地址。

勒索软件使用了.onion域名的网站与受害主机进行通信,.onion属于暗网的网站,只能通过Tor浏览器才能访问,暗网中并不像我们平时访问的网站通过DNS机制进行解析。暗网是通过6个Tor节点来连接用户和.onion网站的,因此隐蔽性比较强。具体规则如下:

a)暗网地址很随机性,没有规律,因此为了证明自己的存在,暗网服务器首先选择3个介绍点(Tor节点)告知它们网站的公钥。与这3个介绍点的连接并不是直连,而是通过Tor电路,所以介绍点不知道暗网服务器地址。

b)暗网服务器组装自己的描述符,描述符包括公钥、3个介绍点,接着用私钥做签名上传到一个分布式的哈希表(目录服务器)。描述符与暗网地址一一对应,暗网地址.onion通过公钥随机生成,可根据地址找到对应的描述符。

c)客户端得知了一个.onion地址,建立了Tor电路去访问目录服务器并下载对应的描述符获取公钥等信息。与此同时,客户端随机选择一个Tor节点作为“会合点”与之建立3跳的Tor电路,并告知一个一次性的会话密钥。

d)客户端组装一个介绍信息(包含会合点的IP地址和一次性密钥),用获取的该网站公钥进行加密,通过Tor电路发送此信息给一个介绍点,由介绍点转发请求到.onion网站。由于通过Tor电路发送信息,因此客户端地址匿名。

e)暗网服务收到介绍信息后用自己保留的网站私钥解密得到会合点地址和一次性密钥。并且创建一个3跳的Tor电路到会合点,携带一次性密钥。

f)会合点验证一次性密钥后通知客户端连接建立成功。然后客户端和暗网服务器就可以通过各自的Tor电路连接到会合点进而通信。客户端与暗网服务器共经过6个Tor节点。

1498009144550.png!small

2.1 Tor网络的域名解析机制

暗网的域名解析机制中客户端不知道服务器的真实地址,只能通过Tor网络的解析机制进行访问,要经过6个随机的不同国家或地区的节点,而且会每隔几分钟变换节点,因此很难被追踪。

3.WannaCry中包含的Tor节点IP地址分析

安天的深度分析报告(http://www.antiy.com/response/wannacry.html)中指出,在taskhsvc.exe程序中发现169个Tor节点IP地址,这169个IP地址是硬编码到taskhsvc.exe里的。

这169个Tor节点的IP地址是干什么的,有什么作用?对于不熟悉Tor的人来说可能有很大疑问。169个IP地址是勒索软件作者自己修改Tor源码硬编码进入的吗?是作为Tor的入口节点或中继节点来连接Tor网络的吗?这样的话Tor的安全性通信质量将大大降低。这么多的Tor节点IP地址究竟是怎么回事,我们对此做了深入分析。

首先,我们运行WannaCry程序进行网络抓包分析,也发现了很多IP地址,并且端口号包括9030、9001、443、80、9101等。这些IP地址就是Tor连入网络的入口节点IP地址,因为根据Tor的原理和网络层知识,我们只能看到下一跳节点IP地址,Tor的第二跳第三跳(出口节点)节点IP地址我们在网络抓包分析中是看不到。对程序进行多次抓包分析,发现这些IP地址数量远不止169个,这说明WannaCry并不是通过这169个IP地址连入Tor网络的,即这169个Tor节点不是Tor的入口节点。

14980096585653.png!small

3.1 部分网络抓包获取的Tor节点IP地址

14980096759966.png!small

3.2  部分网络抓包获取的Tor节点IP地址

第二步,对WannaCry程序运行后释放的taskhsvc.exe文件进行分析、处理,共发现186个IP地址。部分截图如下:

14980097001915.png!small

3.3 taskhsvc.exe文件内容

将这些IP地址提取出来并与Tor官网的在线节点列表统计(http://torstatus.rueckgr.at/)对照,发现这186个IP有个共同特点:都是DirectoryServer、StableServer和FastServer。

14980097661371.png!small

3.4  部分Tor在线节点情况

14980097784881.png!small

3.5  部分186个节点的特征

第三步,由上一步的分析,再结合Tor网络的原理,Tor应用程序连入Tor网络的第一步应该是连接到“目录服务器”或“网桥”获得构建Tor电路的节点列表。进而,我们将源头转向了Tor程序本身。

第四步,我们在官网下载了最新版的Tor应用程序(tor-0.3.0.8)和对应的Tor源码。对应用程序中的tor.exe进行分析,并对照官网的在线节点列表统计页面,共发现160个IP节点。

14980098645304.png!small

3.6 Tor应用程序中的IP地址特性

对相应版本的源码分析后发现,在src/or/config.c文件中有默认的硬编码进入的9个权威目录服务器的IP地址。这与我们知道的Tor在全球有9个权威目录服务器(分布在美国和欧洲国家)也是对应的。而在第二步中发现的taskhsvc.exe中的IP地址中前9个也正是这些IP地址。

14980099403699.png!small

3.7  9个目录服务器地址

接着我们在src/or/fallback.inc文件中找到了很多IP地址,共151个有效IP地址。这151个IP节点正是备份的目录服务器镜像。151个镜像目录服务器节点加上9个权威目录服务器节点正好是160个IP地址。这就证明了勒索软件作者就是用的官网Tor,只不过不是最新版本,而是之前的一个版本。

14980099746165.png!small

3.8  151个目录服务器节点(fallback.inc中)

14980099809270.png!small

3.9  config.cfallback的描述

14980099835827.png!small

 图3.10  routerlist.cfallback的描述

由此,我们得出结论:Tor应用程序将全球的9个权威目录服务器硬编码到配置文件中,并且将志愿者提供的镜像目录服务器中稳定的快速的符合一定条件的节点也硬编码到Tor应用程序中。这样用户使用Tor应用程序时就可以快速从这些目录服务器节点中选择地址去连接并获取所有中继节点列表,进而连入Tor网络。用户可通过下图中可视化界面选择是否作为镜像目录服务器节点,并且默认端口号是9030(只要不与中继端口冲突即可)。

14980102892358.png!small

3.11  用户配置镜像目录服务器

4.WannaCry背后的暗网结构

运行病毒后比特币地址并没有更新,点击“Check Payment”按钮,等待一会儿连接会弹出框提示你没有支付,比特币地址仍没有变化,不是与用户电脑一一对应的唯一地址,而是默认的3个比特币地址,说明作者的至少一个.onion服务器出现了问题,或流量太大拥塞或被入侵。

通过试探访问,除了“http://gx7ekbenv2riucmf.onion/”地址外其他四个.onion地址已不能正常访问。

5.WannaCry的思考

WannaCry直接将后台CC的.onion地址硬编码到程序中,很容易被察觉到并采取措施,而且确实多个.onion服务器已无法访问。如何更有效的构建后台,可以采用Fast-Flux机制或Domain-Flux机制,使CC域名和服务器IP可动态映射,提高控制命令信道的健壮性,以及提高资源使用率。

 

参考资料:

https://news.ycombinator.com/item?id=8774833

http://www.antiy.com/response/wannacry.html

https://www.torproject.org/docs/hidden-services.html.en

http://www.freebuf.com/articles/web/109330.html

*本文原创作者:DarkRayTeam

未经允许不得转载:安全路透社 » 由WannaCry对暗网Tor的深入挖掘、分析与思考

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册