Attacco WannaCry

0

Il kill switch scoperto da Marcus Hutchins, il ricercatore della sicurezza web, come ha funzionato l'interruttore di uccisione? , la registrazione del nome di dominio deve essere stata effettuata sul sistema di ricerca, come ha impedito il suo beacon a tutti gli altri computer (questo è successo o no?)

    
posta Ashmika 04.07.2017 - 21:20
fonte

2 risposte

2

domain name registration must have been done on the system of researcher

No. Il dominio è stato effettivamente registrato ed è disponibile per tutti:

~$ whois iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
   Domain Name: IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM
   Registry Domain ID: 2123519849_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.namecheap.com
   Registrar URL: http://www.namecheap.com
   Updated Date: 2017-06-22T16:05:38Z
   Creation Date: 2017-05-12T15:08:04Z
   Registry Expiry Date: 2023-05-12T15:08:04Z

Il malware proverà a connettersi a questo dominio. Se ha successo, si interromperà, altrimenti continuerà.

Il ricercatore che ha registrato il dominio lo spiega qui .

Nella sua ricerca, ha inserito per la prima volta il dominio nel suo file host e, dopo aver visto che ha bloccato il malware sul suo sistema locale, ha registrato il dominio, impedendo così a questa specifica versione del malware di fare del male a qualsiasi sistema che potrebbe connettersi al dominio (questo in realtà è stato più un incidente, il ricercatore originariamente voleva raccogliere ulteriori informazioni sul malware).

Il ricercatore indovina anche ciò che gli autori di malware hanno voluto ottenere con questo "kill switch":

In certain sandbox environments traffic is intercepted by replying to all URL lookups with an IP address belonging to the sandbox rather than the real IP address the URL points to, a side effect of this is if an unregistered domain is queried it will respond as it it were registered (which should never happen).

I believe they were trying to query an intentionally unregistered domain which would appear registered in certain sandbox environments, then once they see the domain responding, they know they’re in a sandbox the malware exits to prevent further analysis.

    
risposta data 03.08.2017 - 22:40
fonte
0

Ha funzionato perché il codice ha verificato che il dominio non rispondesse a una connessione. Quando l'ha collegato a un server ha risposto provocando l'uscita del codice.

In altre parole, quando il dominio era online, il codice non completava la sua esecuzione.

Come nota a margine molti ricercatori non credono che sia stato un kill switch ed è stato probabilmente un modo per testare se si trovava in una sandbox.

    
risposta data 04.07.2017 - 21:21
fonte

Leggi altre domande sui tag