thắc mắc Mấy bác An ninh Mạng cho mình hỏi xíu về bài này trên group voz FB ???

Fullshocklong

Đã tốn tiền

Trong bài trên thì lúc con wannacry nó đã phát tán được 1 mớ thì thg cha này mới có đc code của wannacry , "
Trong vài phút, một người bạn hacker có tên Kafeine gửi Hutchins đoạn sao chép mã WannaCry. Cậu phát hiện trước khi mã hóa file, mã độc gửi lệnh tới trang web có địa chỉ như được gõ bừa iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Khi một mã độc kết nối tới domain như vậy, thường có nghĩa nó đang liên lạc với một máy chủ điều khiển và ra lệnh từ xa. Hutchins chép địa chỉ vào trình duyệt và ngạc nhiên thấy site không tồn tại. Cậu lập tức vào dịch vụ đăng ký tên miền Namecheap và mua tên miền này với giá 10,69 USD",

tại sao mã độc gửi lệnh đến web để liên lạc với máy chủ và điều khiển từ xa mà nó lại chưa dc đăng kí tên miền nhỉ,cho mình hỏi ngu phát :whistle::whistle:
 

TTyPT

Member
Thì nó nói rõ rồi còn gì, đấy là cái công tắc của tác giả con virus đấy để khi cần có thể dừng được việc phá hoại của virus.
 

botmingoc

Junior Member
Vào blog của chính tác giả mà đọc:
https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
Còn đây là của người phân tích code con đấy:
https://blog.talosintelligence.com/2017/05/wannacry.html

Mình ko phải dân chuyên security, đọc chỉ hiểu mang máng là code con virus có đoạn if else nếu connect đc cái domain đấy thì dừng, nếu ko đc thì tiếp tục chạy. Thanh niên này biết vậy, mua domain, trỏ về sinkhole => chấm dứt đc tấn công.

1590095910245.png


Còn tại sao nó lại if else chỗ này mà nó ko chạy mẹ cái đoạn trong else thì chịu, bạn nào đọc kỹ 2 post kia thử giải thích cho ae xem :D
 

ledangkhoalt

Junior Member
tạo kết nối tới domain trên, không được thì "kích nổ". Hàm detonate() là tự huỷ kìa, coi như không làm gì cả
 
Lúc đầu mình cũng tự hỏi tại sao nó ko mua domain kia rồi làm 1 cái api simple return true false thì sẽ luôn control được. Nhưng nghĩ đi nghĩ lại thì đăng ký domain tức là hacker phải lộ thông tin của họ với nhà cung cấp.
Các bác nghĩ sao?
 

mistake37

Member
Lúc đầu mình cũng tự hỏi tại sao nó ko mua domain kia rồi làm 1 cái api simple return true false thì sẽ luôn control được. Nhưng nghĩ đi nghĩ lại thì đăng ký domain tức là hacker phải lộ thông tin của họ với nhà cung cấp.
Các bác nghĩ sao?
Chắc nó có tâm nên tính đến bước stop, chứ ko thì nó bỏ đoạn check đấy đi là được :shame:

Sent from Xiaomi Redmi K20 using vozFApp
 

MrStar1102

Junior Member
Nó làm vậy để tránh bị mấy soft anti virus phân tích, trong sandbox của antivirus thì khi nó gửi request lên domain kia thì sẽ vẫn có reply, trong khi thực tế, thằng code con này cho rằng chả có ai dở hơi đi đăng ký domain kia —> nó biết được là đang trong môi trường sandbox hay thật, vì nếu ở môi trường sandbox thì hành vi của nó sẽ được phân tích cụ thể và bị ngăn chặn sớm —> tự huỷ, và ngược lại.
 
Last edited:

WANWULIN

Đã tốn tiền
Lúc đầu mình cũng tự hỏi tại sao nó ko mua domain kia rồi làm 1 cái api simple return true false thì sẽ luôn control được. Nhưng nghĩ đi nghĩ lại thì đăng ký domain tức là hacker phải lộ thông tin của họ với nhà cung cấp.
Các bác nghĩ sao?
Có cách mua domain không lộ danh tính mà, nên cái bạn nói chưa hợp lý
Em không chuyên về bảo mật, cho em hỏi là mã độc các hacker thường dùng loại ngôn ngữ lập trình nào ?
Đủ thứ tá lả, tùy vào đối tượng, cơ bản nó cũng là 1 phần mềm mà
 

BaronNashor

Member
Đối với 1 người có trình độ như thế làm 1 cái server riêng rồi quản lý true / false có gì khó mà lại để 1 tên lung tung nhỉ ._.
 

Tiny Monster

Đã tốn tiền
Nó làm vậy để tránh bị mấy soft anti virus phân tích, trong sandbox của antivirus thì khi nó gửi request lên domain kia thì sẽ vẫn có reply, trong khi thực tế, thằng code con này cho rằng chả có ai dở hơi đi đăng ký domain kia —> nó biết được là đang trong môi trường sandbox hay thật, vì nếu ở môi trường sandbox thì hành vi của nó sẽ được phân tích cụ thể và bị ngăn chặn sớm —> tự huỷ, và ngược lại.
Bác này nói chuẩn này. Mục đích ban đầu của malware writer là sử dụng domain này để detect sandbox/VM, nhưng cũng vì thế mà vô tình trở thành kill-switch của con malware.
 
Top