【年度大戲】勒索」嘿客「無間道之戰

爲了保護多位表演羣衆,如下內容均以化名出現,全部圖片取自對當事人的報告和貼吧原貼,歷史羣消息中,並均對ID打碼處理(25仔的就不打了),本文只陳述基本事實基本推斷,不作結論性推斷,內容均無」僞造」,」瞎編」,」腦補意淫」可接受任意形式第三方查證,論壇裏基本都是計算機行業內的業內大佬,既然都是明白人,技術忽悠和賣情懷的東西我們就不寫了,但筆者並不是天才也非全才,如有解釋不當之處仍望大佬指正,歡迎各位觀衆大佬自備西瓜板凳,前排吃瓜看戲,歡迎實力大佬進一步切瓜查證,找出真正幕後25仔。

1.爲了不你們看起來太混亂,簡單先給你們縷縷人物關係,名字取(張三,李四,王五),時間線是這樣的:

1.李四是個掛B,某天它在貼吧下載了一個xx輔助,沒想到是個勒索病毒,結果中招
2.李四找到大黑客交了智商稅後,沒想到大黑客說本身也沒有密碼仍是不給他密碼,李四隻好去求助某52pojie的大佬
3.大佬也沒辦法解決這個勒索病毒,向李四推薦了張三,但願張三能破解密碼
4.張三分析這個勒索病毒,發現該勒索病毒會將密碼發送到王五的QQ,因而懷疑王五就是這個勒索大黑客
5.張三經過信息反查發現,王五一邊在貼吧中幫人破解鎖機,一邊本身製做鎖機坑害羣衆,簡直是現代版嶽不羣,因而開貼怒噴王五.
6.王五發帖稱張三造謠污衊,同時依據分析貼中數據包大小不對,反咬張三是故意僞造數據包污衊其本人
7.數據包大小通過吧務團隊和其它專業人士分析,並無僞造痕跡,但SMTP登陸密碼提示不正確沒發送成功,王五以勒索樣本是僞造的繼續反咬張三是對其污衊.
8.吧務出面以勒索QQ上照片和王五提供的視頻分辨率不一致,僅勒索樣本沒法徹底證實王五就是幕後大黑客,且王五也沒法自證本身遭人陷害爲由結貼.
9.本着導演年度大戲的願望知足各大吃瓜羣衆求知慾,筆者經過信息深挖和對部分當事人提供消息取得了更多的信息,並放上爆米花爆料,提出諸多疑點
10.詳細細節請看下文

事件起源於1-12日晚,張三的某位52X解粉絲向他報告，有一個勒索樣本沒法解決，並已經讓受害人李四聯繫張三

因而李四向張三求助,本身的電腦被一個小學生勒索給整了

因而,張三開始對李四提供的病毒下載連接樣本進行分析,並對分析的結果得出結論.

上述樣本的原貼下載地址估計已經被神奇的貼吧吞了,可是在卡飯論壇有看官保存了一份

之因此張三得出該結論,是基於如下的分析報告(分析是軟件Pedoll,已經在github開源https://github.com/matrixcascade/PeDoll)

張三還發現,該病毒樣本會將勒索密碼幕後使用SMTP發信協議偷偷發送到一個第三者郵件中,而非勒索界面表面的QQ號

因而張三順藤摸瓜,經過該幕後QQ反查到貼吧,發現所有相關帖子所有指向一個ID,也就是王五的ID

因而,張三依此得出結論,王五是該勒索樣本的幕後黑手,同時張三還發現,王五在貼吧內幫人作着幫人破解勒索的事情,另外一邊還自行製做勒索病毒坑害一堆人,張三我的主觀上認爲,這簡直就是實現版的嘿客無間道,王五就是這裏面的二五仔.因而直接開貼開噴.

到這裏,王五做爲一個在該吧的活躍用戶,天然是不幹了,當它看到此貼後,很快展開了回擊,同時在病毒吧和電腦病毒吧開闢謠帖並我的主觀上認爲,張三故意使用僞造的數據包,誣衊他是病毒做者,由此開始了第一輪互噴大戰

張三此時也不幹了,表示本身僞造數據包作什麼,他已經將勒索樣本保存一份,任何人均可以進行分析查證

王五立刻不幹了,立刻提出第二個可能,沒錯,張三你這個二五仔,你纔是病毒做者,你開這個貼作了個假木馬寫上個人qq故意來誣告我,
張三立刻針鋒相對,今天都13號了,樣本的編譯時間(應該是文件最後修改時間)是6號,難不成我提早一週就預謀好了而後今天才來陷害你?,同時張三還發現,全部的勒索小號起的名字都和李四的QQ同樣,按照人的思惟慣性問題,這具備必定的佐證性.
而後迎來了第一波互噴大戰.

事情一爆發,馬上引起了大量吃瓜羣衆圍觀,不少的吧友表示不相信,畢竟王五在貼吧中確實是幫過很多人

同時,王五也提出了更多的質疑,並表示該樣本是造謠的

這輪<<誰纔是無間道里的二五仔大戰>>由吧務出面,並開出了停戰協議,以勒索病毒使用的小號上的照片,和王五上照片的分辨率不同,暗中發送的smtp郵箱仍然不足以證實王五就是二五仔,也就是雙方都證據不足,往後再議爲由結束了此次爭論

https://www.muruoxi.com/3473.html

可是秉承着吃瓜不甜不賣瓜,不挖新聞搞不大的原則,對該事件進行進一步深挖

2.

在進一步搜索中發現,這個勒索樣本早已流傳很長的時間,經過進一步搜索發現,不管是在病毒吧仍是在電腦病毒吧,都有該勒索病毒的戰績,而且僅貼吧最先可查詢到的樣本能夠追溯到2018年的9月,而且該病毒從1.0版本到最新的2.7版本,具備多個版本,同時全部的樣本在勒索界面上都打上了By Xi yang yang字樣的大名

經過對勒索小號查詢發現,無論是老版本仍是新版本所使用的勒索小號(包括帳戶已經被封的)都有個叫」喜羊羊」的號出現,而且這些帳戶等級所有都是一顆星星,而且都有若是此號加不了,請加xxxx的封面圖字樣

所以,幾乎能夠肯定,製做該勒索程序的人一定是同一人,同時,在幾個勒索羣中,發現該樣本多個版本已經大量流傳,在去年的十月份,就已經有人成功破解過該樣本(由於暫時聯繫不上該人還沒法驗證其當時是否已經使用木馬程序中的SMTP帳戶成功登錄上目標QQ),

而這些樣本,無一都暗中使用SMTP協議把勒索密碼發送到了王五的QQ,所以,若是基於有人制做勒索軟件來誣告王五的假設是成立的話,那就意味着該二五仔也就是勒索病毒做者從去年九月開始,孜孜不倦使用他人的QQ進行勒索而他本身卻徹底沒法收到正確密碼,咱們尚不知道張三開貼」曝光」後這個二五仔是否還會繼續製做這類病毒,但若是沒被」曝光」,幾乎有很是大的可能性這個二五仔還會繼續製做該勒索程序.同時樣本大多使用VMP殼編譯處理,Patch難度大也容易被發現,基本也排除了有人購買該勒索修改勒索界面的qq而後發佈出去.

而且假如須要誣衊一我的的話,爲何要把發信郵箱偷偷的在幕後發送出去,若是沒有專門的逆向基礎並熟知SMTP發信協議的專業人士,幾乎不會發現這個潛藏的QQ,爲何直接把想要誣衊的人打在勒索界面上不來的更快效果更好,非要使用VMP的反調試,反虛擬機,功能而後整的好像是等待某逆向大神扒出來再」曝光」呢,其中緣由反正咱們是不得而知了,看官自行揣摩,不作進一步推論.

但也存在一個很奇怪的疑點是,QQ郵箱在很早之前就使用十六位受權碼進行登陸了(不知道能不能本身設置),而後從勒索樣本里扒出來的密碼也着實不像是瞎編的,彷佛能夠得出一個結論是,該二五仔病毒做者也許壓根不知道SMTP登陸協議的規則,直接使用QQ郵箱密碼填寫,但卻根本登陸不了,但這又很奇怪了,一個明明收不到密碼的勒索,爲何還須要花費大量的時間去散佈呢?也許在以前存在某些版本是經過測試能夠收到密碼的,或者有個的可能性就是這就是真有個閒的蛋疼的二五仔, ,寫着別人的qq,而且以大無畏的精神更新了至少四個月.

正在疑惑時在羣裏發現了一個更加exciting的消息,原來王五早在1-11日就對該勒索程序進行了」分析」(圖中這個喜羊羊頭像的自稱反病毒工程師的哥們便是王五,該消息截圖於羣內某位病毒分析人員的吐槽,吐槽什麼稍候講解)

而後一個很是高潮的內容來了,注意畫紅線的重點:

已經驗證該樣本和本文提到的樣本爲同同樣本,王五十分準確的說出了該樣本的特徵,他會將密碼和ID打包成郵件發送給做者,發送給做者,發送給做者!!

固然,王五沒有告訴受害的哥們,這個郵件不正是發給他本身的麼,若是王五和這個勒索軟件沒什麼關聯,筆者實在想破腦殼也想不明白王五說這話究竟是什麼騷操做,同時讓筆者十分疑惑的是,經過這張圖和王五提供的網絡數據包取證反面論證咱們知道

王五對數據包分析和SMTP發信協議幾乎一無所知,對其所爲的」反病毒工程師」的逆向分析能力真的不能不讓人人大打問號(不過確定的是若是這樣的回答去面試反病毒工程師確定是100%被刷的),然而他卻能準確的說出該木馬程序的執行邏輯.甚至很是深刻的知道該勒索密碼和ID都是隨機生成沒有關聯如此細節分析的邏輯關係(作逆向分析的大佬應該都懂,這段邏輯沒法經過行爲分析得到,必須定位random函數shellcode地址經過調用關係判斷)所以這就陷入了一個邏輯的死循環,假如王五和該勒索毫無關係,那麼在王五對其分析後:

1.假如王五逆向基礎過關 ,他怎麼可能不知道該勒索把密碼發到不正是他qq,而後立馬有所表示究竟是哪一個二五仔誣告我,而不是騷操做地說」會把密碼打包發給做者」,這不就自我認可了麼?

2.假如王五逆向基礎不過關,如同其論證在技術解釋上漏洞百出甚至能夠說毫無邏輯,那他又是如何能如此準確地說出該勒索病毒的執行邏輯,不只能繞過VMP殼的各類暗樁檢測甚至分析出主要邏輯還可能已經被VM化的邏輯代碼,專業的程度絕對不亞於一個常年混跡在52pj的老司機.
操做太騷實在是想不透,實際上羣中這個病毒分析人員也正是吐槽這個

最後這個所謂的By Xi Yang Yang V2.7甚是醒目.不顧這個xi Yang Yang究竟是不是那個喜羊羊,筆者就不作進一步論斷了.

最後筆者本着狗拿耗子我開心的原則,對那些勒索小號和發佈勒索網盤連接的貼吧號進行進一步深究,發現QQ所有都是一星包含部分的信息沒猜錯的話應該是從某寶或其它某平臺購買而來,使用密碼找回功能對貼吧號的手機號碼進行查找,發現這些帳戶綁定的手機號碼光沒打碼的部分都差異極大.

常作惡意程序分析的小夥伴應該知道,所以幾乎判定要麼這些貼吧帳戶是經過某種方式購買而來的,但等級如此的統一,更大的多是經過手機接碼平臺進行註冊的,這種平臺搜索一下幾乎有一大把.

鑑於信息的有限,吧務對3396296747此小號和王五提供視頻照片的驗證

進行的視頻分辨率-圖片分辨率的取證比對,恕筆者才疏學淺,修了五六年圖形學的筆者實在沒搞懂這波取證操做,視頻分辨率須要考慮到空間佔比一定會比照片來的小,而且壓縮算法參數的不一樣的不一樣勢必致使失真率的不一樣,即便使用DCT Wavelet 之類的頻域水印方案也恐怕也會沒法辨明,或者你能夠說不一樣相機的圖片編碼圖像參數的不一樣能夠經過相機判斷,但原圖在上傳至QQ後都一定會進行更大程度的壓縮變形分辨率調整,這個圖片再取樣還有意義麼?

況且也沒有誰會正大光明的把本身的照片掛在勒索收款帳戶上,這不是等抓麼,但若是說要陷害一我的那恐怕如今在3396296747上顯示的照片,估計早就貼滿了王五的大照了

因此這波操做無論是技術上仍是邏輯上,筆者都實在看不懂.

從聯繫張三的受害者還了解到,在張三按本身主觀開噴不到一個小時,該小號

就把一張相似

這樣的封面火速撤掉了,這個封面上到底寫了什麼,目前受害者也想不清

時間有點巧,不過鑑於這封面也不知道寫了什麼,也很差作進一步的判斷.

雖然有不少的證據指向王五,但仍然沒法排除一寫機率事件存在的可能沒法實錘,王五提供的證據和說法說實話在邏輯和技術上幾乎站不住腳,好比數據包僞造(已被證明不可能),樣本僞造(相似樣本太多,時間跨度太長,vmp殼無patch痕跡),還有什麼截圖時間(暫時沒看懂表達什麼),還有吧務的照片比對(已作出技術邏輯推論說明)也沒法自證.暫時懸置是一個合理的處置方式.

無論怎麼樣,以上論據的最終結果無非如下幾個

1.王五不是勒索程序的做者,多是他吃了誰家一年的大米了深仇大恨,有人蓄意陷害,而且這人還策劃的還挺久的,而且經過加殼,反逆向反調試暗走數據流的手段彷佛刻意不讓人順利分析該勒索程序,恐怕要不是被曝光,能策劃到9102年.

2.張三陷害王五上演世紀懸疑大片,不過截至目前,張三表示他和受害者願意接受第三方任意形式的調查取證包括樣原本源,聊天記錄,人員關係以證實他不是在唱」三簧」,並表示用易語言那麼高端的玩意作一波那麼高端的操做他實在高攀不起.

3.王五是勒索程序的做者,那就是表面幹一套背地幹一套,讓人容易聯想到嶽不羣這種

4.王五不是勒索程序的做者,但至少有所關聯,畢竟易語言這種神奇的語言(經過行爲分析取得該勒索程序的編譯特徵就是易語言),有可能王五寫了該勒索程序的勒索模塊代碼,但引用該代碼的真正做者就改了個勒索界面的QQ,同時他開的收錢小號因不明緣由也碰巧叫」喜羊羊」(可能和王五有直接聯繫好比從王五那搞到了這個模塊代碼,而後出於我的崇拜或是喜愛方面取該名字),而後將勒索發佈出去大肆傳播.

3.

其它的信息收集了那麼多,不妨回到最初這個樣本的來看,由於勒索界面上赫然寫着By Xi Yang Yang無比風騷的幾個大字,同時勒索小號也寫着喜羊羊的id,咱們姑且叫它喜羊羊勒索,筆者簡略對該樣本進行分析

1.樣本正如以前所說,是易語言開發編寫的,由於易語言程序有個很神奇的東西就是開頭會訪問一個叫staticfont什麼的玩意,同時加了VMP2.x的殼,經過對section,EntryPoint的檢查,暫時該程序沒有被patch的痕跡,基本肯定就是病毒做者一手出來的.

2.該樣本經過修改MBR區引導代碼,替換爲一個」輸對密碼才恢復原始MBR」的shellcode實現密碼勒索,經過SMTP auth階段的字符串base64解碼該密碼在幕後肯定是發往王五的QQ郵箱,但返回登陸失敗須要使用受權碼登陸.

3.該樣本釋放了360.dll到d盤,同時添加了開機啓動註冊表項,出於時間關係尚無對該樣本進一步分析.同時釋放了一堆可有可無的文件

4.使用net user命令修改windows登陸密碼,同時經過模擬鍵盤的方式調用數據保護界面,進行數據庫加密.

5.篡改文件關聯,破壞註冊表項,執行format C: D: E: F:操做,這個代碼應該屬於廢品代碼,不會執行

6.taskkill 結束殺軟進程,ring3就想對抗ring0保護的進程,廢品代碼

基原本說這個勒索寫的一句話形容就是鶸爲何要戰鬥,代碼極其幼稚,處理粗糙,邏輯關係混亂,VMP應該也是使用了」一鍵加殼」自認爲高枕無憂,典型的小學生水平,幾乎能夠判定就是個看了幾頁入門書籍作出來的中二病玩意,依筆者經驗,基本就是某個初中高中生自覺得本身成大嘿客了自信膨脹作出來的東西,屬於辣雞中的戰鬥雞

然而勒索的小號,發佈該勒索貼吧號處理的反而嚴謹的多,接碼平臺,不留痕跡,qq空間所有關閉,沒有其它多餘的發帖紀錄,總結起來該貨簡直是天生的作小學生勒索的料子,水平沒有,歪主意一堆.

4.

最後,本文的目的一是給各吃瓜大衆帶來一場色香味俱全的福利,同時也相信天下沒有不漏的風若是繼續深挖將會有愈來愈多的證據證實事情最終的真實結果,同時但願有能力的技術或安全、公安行業大佬出手相助，解惑諸多疑點知足廣大吃瓜羣衆的求知慾望，並將真正的小學生勒索做者繩之以法.