WannaCry攻击

Question

网络安全研究人员马库斯·哈钦斯( marcus hutchins )发现的“杀死开关”是如何真正工作的？，域名注册一定是在研究人员的系统上完成的，它是如何防止它成为所有其他计算机的信标的(这种情况发生与否？)

Answer 1

域名注册必须是在研究人员系统上进行的。

不是的。该域名实际上已注册，每个人都可以使用：

~$ whois iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
   Domain Name: IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM
   Registry Domain ID: 2123519849_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.namecheap.com
   Registrar URL: http://www.namecheap.com
   Updated Date: 2017-06-22T16:05:38Z
   Creation Date: 2017-05-12T15:08:04Z
   Registry Expiry Date: 2023-05-12T15:08:04Z

恶意软件将尝试连接到此域。如果它成功了，它将中止，否则它将继续。

注册域名的研究人员解释了这里。

在他的研究中，他首先在他的主机文件中进入了这个域，在看到它阻止了他的本地系统上的恶意软件之后，他注册了这个域，从而防止了这个特定版本的恶意软件对任何可以连接到该域的系统造成伤害(这实际上更像是一个意外，研究者本来想收集更多关于该恶意软件的信息)。

研究人员还猜测恶意软件作者希望通过这个“杀死开关”实现什么：

在某些沙箱环境中，通信量是通过使用属于沙箱的IP地址(而不是URL所指向的实际IP地址)答复所有URL查找来截获的，这样做的一个副作用是，如果查询未注册的域，它将在注册时响应(这是不应该发生的)。我相信他们试图查询一个有意未注册的域，该域将出现在某些沙箱环境中，然后，一旦他们看到域响应，他们就知道他们在沙箱中恶意软件退出，以防止进一步的分析。

Answer 2

它起作用是因为代码检查域没有响应连接。当他将它连接到服务器上时，它就会响应，导致代码退出。

换句话说，当域在线时，代码没有完成它的执行。

顺便指出，许多研究人员不认为这是一个杀死开关，并可能是一种方法，如果它是在沙箱中。