一、導語
本周Wannacry勒索病毒肆虐全球，由于病毒利用了Windows系統的網絡服務(SMB)漏洞，具有主動傳播的特性，在全球范圍內已經對多家醫院、服務機構、學校等進行了勒索攻擊。用戶一旦中招，電腦中的文檔就會全部被高強度的加密算法所加密，原始文件相應的會被刪除。由于攻擊者使用了Tor匿名網絡和比特幣交易等技術方法,鑒于溝通的不確定性，即使繳納贖金，也無法保證可以解密，導致解密之日遙遙無期。
本文將會深挖Wannacry勒索軟件背后的匿名網絡，從網絡分析層面揭露該病毒的狡猾伎倆。
二、整體概況
Wannacry 病毒首先會將自身注冊成為系統服務，然后釋放攻擊程序，該程序利用微軟MS17-010漏洞[3] 進行傳播，傳播過程無需人工參與，這也是該病毒全球爆發的主要原因之一。
該病毒敲詐加密的手法嫻熟，使用混合加密體系，即公鑰加密(RSA 2048) 配合對稱加密(AES 128)。這樣做的好處是公鑰加密保證了只有手握私鑰的攻擊者才能解密文件，對稱加密保證了加密效率，在短時間內將受害者硬盤上的全部資料進行加密。
最后，該病毒使用了Tor（The Onion Router，洋蔥路由器）[4]網絡同遠控服務器進行信息通信。該網絡最大的特點是匿名通信，這也是攻擊者仍然逍遙法外的主要原因之一。
三、網絡通信
本節會對Wannacry病毒的網絡通信模塊進行梳理和解析。如圖所示，樣本的通信流程主要有以下步驟：

3.1 安裝Tor軟件
勒索軟件為了能夠匿名和服務器進行通信，”@WanaDecrypTor

樣本通過使用官方的Tor程序接入Tor網絡，好處是這些程序不會被殺軟認為是病毒，減少了被查殺的可能性。同時樣本會將tar.exe復制為taskhsvc.exe在后續操作中使用，這樣做的目的是減少Tor的曝光度。
下圖是樣本Tor程序相關的文件結構圖。

當安裝完Tor軟件后，會立即啟動Tor服務taskhsvc.exe，用來和匿名網絡中的服務器進行通信。taskhsvc.exe啟動后以socks代理的工作模式監聽本地127.0.0.1:9050端口，接收勒索主程序 ”@WanaDecryp Tor@.exe” 的網絡請求：

 
3.2 發送數據
當用戶點擊勒索界面的“Contact Us”和“Check Payment”按鈕時，如下圖所示 ”@WanaDecrypTor@.exe”進程會向代理服務器taskhsvc.exe監聽的127.0.0.1:9050端口發送消息。

比如，當我們點擊“Contact Us”輸入信息進行發送時，”@WanaDecryp Tor@.exe”進程會獲取計算機名、計算機賬戶名以及其他的一些信息，連同要發送的信息發送到127.0.0.1:9050端口，然后由 Tor代理進行轉發，注意發送之前該數據會被簡單異或加密，下圖是加密之前的明文：

1. 紅色框標注的是00000000.res文件的前8個字節，而00000000.res是針對用戶的一個信息標識文件。
2. 綠色框標注的是計算機名和計算機賬戶名。
3. 藍色框標注的是發送的實際內容，即”just a test.”。
當Tor代理服務taskhsvc.exe監聽到127.0.0.1:9050端口有數據時，會向以下暗網地址轉發相關數據，而暗網地址則配置在c.wnry文件。
3.3 CC服務器
經過逆向分析，樣本會從如下5個洋蔥地址中選擇某個進行通信。
gx7ekbenv2riucmf.onion
57g7spgrzlojinas.onion
xxlvbrloxvriy2c5.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
下圖是樣本嘗試連接onion地址的情況。

 
下圖是網絡分析中，onion地址的使用情況（57g7spgrzlojinas.onion）。

 
3.4 中繼節點
Tor網絡中，中繼節點可以使用不加密的TCP協議(9001端口)，也可以使用加密的TLS鏈路通信(443端口)。并且每次使用的中繼節點都不相同，為溯源設置了障礙。下圖是使用9001端口的TCP協議進行中繼。

 
下圖是lif.cubox.me的信息，整個Tor網絡中有無數個類似的中繼節點。
3.5 回包分析
回包中，最重要的操作是更新付款的bitcoin地址。下面三個bitcoin是默認的付款地址：
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
當wannacry完成加密過程后，會啟動一個帶 fi 參數的“@wannaDecryptor@.exe”程序，該程序接受回包后，會更新c.wnry文件，該文件保存了新的支付地址。如下圖所示，該bitcoin地址同默認的三個地址不同。

 
這樣每臺受害者的電腦都會得到一個不同的付款地址，分析人員也無法統計攻擊者使用了多少個付款地址，牽扯到的勒索金額也無法確切統計。這也是此次勒索軟件的狡猾之處。
四、Tor網絡介紹
Tor（The Onion Router，洋蔥路由器）是實現匿名通信的自由軟件。Tor用戶在本機運行一個洋蔥代理服務器，這個代理周期性地與其他Tor交流，從而在Tor網絡中構成虛電路（virtual circuit）。而它之所以被稱為onion，是因為它的結構就跟洋蔥相同，你只能看出它的外表，而想要看到核心，就必須把它層層的剝開。即每個路由器間的傳輸都經過點對點密鑰（symmetric key）來加密，形成有層次的結構。它中間所經過的各節點，都好像洋蔥的一層皮，把客戶端包在里面，是保護信息來源的一種方式，這樣在洋蔥路由器之間可以保持通訊安全。 如下圖所示[5]：

 
（Tor網絡結構示意圖）
五、總結
本文分析了Wannacry樣本的網絡通信行為，同時介紹了Tor洋蔥網絡的相關信息。該樣本使用了Tor網絡同CC服務器進行匿名的加密通信，通信的方式是在本地9050端口搭建代理服務器，然后由代理服務器連接外部的中繼節點。這種方式增加了隱蔽性和對抗網絡分析的能力，也是攻擊者目前仍然逍遙法外的主要原因之一。