Il kill switch scoperto da Marcus Hutchins, il ricercatore della sicurezza web, come ha funzionato l'interruttore di uccisione? , la registrazione del nome di dominio deve essere stata effettuata sul sistema di ricerca, come ha impedito il suo beacon a tutti gli altri computer (questo è successo o no?)
domain name registration must have been done on the system of researcher
No. Il dominio è stato effettivamente registrato ed è disponibile per tutti:
~$ whois iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Domain Name: IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM
Registry Domain ID: 2123519849_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2017-06-22T16:05:38Z
Creation Date: 2017-05-12T15:08:04Z
Registry Expiry Date: 2023-05-12T15:08:04Z
Il malware proverà a connettersi a questo dominio. Se ha successo, si interromperà, altrimenti continuerà.
Il ricercatore che ha registrato il dominio lo spiega qui .
Nella sua ricerca, ha inserito per la prima volta il dominio nel suo file host e, dopo aver visto che ha bloccato il malware sul suo sistema locale, ha registrato il dominio, impedendo così a questa specifica versione del malware di fare del male a qualsiasi sistema che potrebbe connettersi al dominio (questo in realtà è stato più un incidente, il ricercatore originariamente voleva raccogliere ulteriori informazioni sul malware).
Il ricercatore indovina anche ciò che gli autori di malware hanno voluto ottenere con questo "kill switch":
In certain sandbox environments traffic is intercepted by replying to all URL lookups with an IP address belonging to the sandbox rather than the real IP address the URL points to, a side effect of this is if an unregistered domain is queried it will respond as it it were registered (which should never happen).
I believe they were trying to query an intentionally unregistered domain which would appear registered in certain sandbox environments, then once they see the domain responding, they know they’re in a sandbox the malware exits to prevent further analysis.
Ha funzionato perché il codice ha verificato che il dominio non rispondesse a una connessione. Quando l'ha collegato a un server ha risposto provocando l'uscita del codice.
In altre parole, quando il dominio era online, il codice non completava la sua esecuzione.
Come nota a margine molti ricercatori non credono che sia stato un kill switch ed è stato probabilmente un modo per testare se si trovava in una sandbox.
Leggi altre domande sui tag wannacry