導讀:5月12日一場互聯網領域的“巨震”席捲全球, wannacry蠕蟲式勒索軟體已驚人的速度席捲上百國家, 所到之處, 哀鴻遍野, 寸草不生, 山崩地裂, 老漢推車....(額.詞窮編不下去了), 上一張來自malwaretech的全球感染地圖自己感受。
各安全公司的大牛們從傳染初期便開端進行樣本剖析, 宣佈許多技能剖析文章, 其中均提到了wannacry運用的三個比特幣帳戶, 本文就是運用比特幣買賣明細揭露化的特性, 從資料的視點扒一扒這三個帳戶的秘密。
為何會是比特幣當中招者失望, 想花錢買安全時, 才發現對方只支撐比特幣付出, 這讓平時用慣方便付出的客戶們情何以堪。 挑選如此小眾的付出方法使得門檻提高, 用戶體會太差, 讓不少到手的鴨子飛了, 這也必定程度上影響了病毒製作者的收益。 Why???!!!為何會挑選比特幣進行付出?
比特幣已不是新鮮事物, 自誕生以來, 便憑藉去基地化、高匿名性的優勢迅速開展,
Q:比特幣帳戶為何會是匿名的?
A:與以銀做法代表的基地化買賣系統比較, 比特幣選用散佈式結構將一切買賣記載散佈存儲在不一樣的區塊鏈中, 沒有統一的基地節點, 且一切買賣記載均揭露。 一起用戶可無需實名認證, 隨意生成若干個比特幣錢包位址, 且錢包之間的轉帳可隨意進行, 無需中心組織認證, 這些因素一起保證了比特幣錢包的高匿名性。 因為比特幣的運用方式與銀行比較較為複雜,
Q:比特幣買賣記載裡能取得啥?
A:銀行的買賣記載只能由買賣參與者檢查, 而比特幣的買賣記載則是全網揭露, 至於為何要這麼做, 感興趣的童鞋可以查閱比特幣的買賣原理。 有許多網站供給比特幣買賣記載的查詢功能, 在這引薦btc.com, 在該網站上可以檢查任何錢包、區塊、礦藏等基本資訊。
Q:獲取到完好買賣鏈後, 咱們可以幹啥?
A:與銀行轉帳一樣, 比特幣帳戶的轉帳次數也是無限制的, 且轉帳額度無限。 通常電信欺詐集團為了躲避衝擊, 常將大筆買賣化整為零, 分轉入多個帳戶, 然後跨境轉出;而比特幣帳戶無國籍特點, 且每個人都可以註冊N個帳戶, 這更加下降了本錢, 違法集團會運用很多帳戶進行轉帳操作, 然後提高剖析者發掘有價值資訊的本錢。 需求著重的是, 比特幣的買賣記載以區塊的方式進行存儲, 而不是一對一存儲, 這就會致使如下圖方式的記載出現。
從這條記載上咱們只能看到輸入\輸出, 無法精確到是哪一個帳戶轉給哪一個帳戶, 所以這也給剖析作業帶來必定干擾。 鄙人一節中就能夠體會到剖析過程的雜亂性, 其買賣資金流並非簡略的鏈條聯繫就能描繪明白, 而是雜亂的樹型構造, 甚至是巨大的圖。
預備資料來源巧婦難為無米之炊。 在對資料剖析前首先要做的即是資料收集, 曾經有人在我談論下稱我為“freebuf爬蟲帝”, 這次照舊老套路上python爬蟲來扒資料, 詳細的技術細節就不再重複。
對於py爬蟲的編寫大體分兩個路子:
1、根據url2、bs4等python庫的爬蟲;引薦菜鳥運用方法一進行編寫, 這麼能夠經過一次次的受阻更明白的瞭解爬蟲的架構和底層技術細節;而老司機便可選用功率更高中介軟體更加完善的各類結構來進行資料收集。 在本次爬取中為了去重引進redis來處理重復資料,運用mysql資料庫進行當地語系化存儲資料,資料剖析則由sql句子直接完結。
本次剖析的買賣記載均來自于逆向獲取的wannacry硬編碼的三個比特幣帳戶:
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn別的有有些安全廠商剖析顯示,wannacry在連接TOR網路後,會動態為每個使用者獲取一個比特幣收款帳戶,這麼每台受害者的電腦都會得到不一樣的付款位址,剖析人員也無法計算攻擊者運用了多少個付款地址,牽扯到的敲詐金額也無法確切計算。顯然這已經超出本次剖析的能力,所以這篇文章只對上面的三個帳戶進行剖析。
選擇btc.com網站作為買賣記載的資料來源,對有關資料進行爬取剖析,爬蟲爬取資料的道路大致如下:
由錢包地址,可獲取該錢包的一切買賣明細。
由錢包頁面的交易明細可以進入某次交易的詳情頁面。
交易資訊都記錄在區塊上,而與本次交易相關聯的區塊(即比特幣的上/下次交易資訊)的連結,同樣可在本頁面獲取(上圖紅色區域)。
由此可知,我們只要不斷去反覆運算追溯交易的上下游,就可以獲得整個比特幣的運動軌跡,即資金流向。這樣豈不是可以查到這三個帳戶的資金去向嗎?很遺憾,截至發稿前,這三個帳戶沒有資金流出,即沒有構成下游來供分析者追查。
Q:為何收了錢卻不用呢?
A:我們不妨大開腦洞猜測一下:
maybe1:這次事情波及範圍太廣,遠超作案者預期,導致心怯不敢用錢;至此,我們無法對資金的去向進行分析,但是既然上游是可以查的,不妨讓我們一起看看匯入這三個帳戶的錢都是怎麼來的吧!!!
“詳解”wannacry交易記錄
爬蟲首要搜集兩類資訊:
1、買賣區塊根本資訊
2、買賣明細
因為買賣區塊中記載的帳戶並非一對一,通常出現多對多的方式,所以在存儲時按條存儲,分輸入、輸出兩類。
剖析一:攻擊者帳戶買賣根本資訊
對三個帳戶進行搜集,三個帳戶共有300次買賣,共532個輸入帳戶,3790個輸出帳戶。
從買賣次數能夠看出,12日wannacry迸發後,13日迎來了第一個買賣頂峰,共61次。隨著15日(星期一)的到來,許多公司或許出於康復事務的需求,挑選花錢買平安,迎來了最頂峰84次。
三個帳戶餘額分佈圖能夠看出金額根本均分,從必定程度上能夠看出程式內部對各帳戶的挑選是隨機的。
其帳戶詳細金額為
錢包地址收款金額買賣次數115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn13.9145723 BTC9612t9YDPgwueZ9NyMgw519p7AA8isjr6SMw17.1774194 BTC10313AM4VW2dhxYgXeQepoHkHSQuy6NgaEb9419.0258628 BTC120
三個帳戶的第一筆買賣id為cce780ee91f0eda86d733f8fa93e23eb676ea1dd43c0822353501de61414ece9,轉入13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94帳戶。圖11.png
其間最大的買賣發作在下圖,有1.999BTC。最小的則只需0.00000563BTC。
剖析二:資金流
咱們獲取帳戶13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94的一切買賣記載,畫出資金聯繫圖。
PS:赤色點:買賣區塊;綠色點:比特幣錢包帳戶;藍色線:資金由錢包輸入;橙色線:資金輸出到錢包。
該圖很明顯看出位於基地的節點就是帳戶13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94,部分擴大圖。
然後順著這個帳戶的一切買賣記載向上追溯(因為資料量太大,只追溯一部分),得到的聯繫圖如下。
如此雜亂的圖現已很難從中找到聯繫了。。。。期望大牛給出一個解決方案
為了下降難度,簡化問題。現只對id為f25d1ab85c889d601f3981c7bd3d33c55e91ec549cf46d69104bbef30361c81e的買賣記載進行追溯,而且只沿第一個輸入帳戶向上追溯,即只把第一個輸入帳戶的前一個買賣塊作為追溯途徑,而不對別的輸入項進行追溯,這麼會減少節點規劃。共獲取184筆買賣,觸及帳戶5446個,有一筆買賣是來源於挖礦3437518aef70276e2b0101d7556e436a4cb00fc4dda6b5db9822b9aafb91be52。
上圖為依據上述資料製作的買賣聯繫全域圖,能夠看到雖然經過了必定的簡化,照舊構成了雜亂的圖。
部分擴大圖能夠看到許多綠點銜接同一個紅點構成樹狀構造,這代表同一筆買賣由多個帳戶共同完結。
紅點為買賣記載塊,綠點為錢包,藍線為轉出,橙線的轉入,這麼咱們就能夠得到一條如上圖所示的資金流向圖。
寫在最終
因為wannacry的三個帳戶並沒有發作任何的轉出行為,所以不能順著資金的下流流向來進行剖析,這是這篇文章的惋惜的地方。而關於比特幣帳戶的匿名性,並不能確保在任何時候均有用,在本次勒索軟體事情發作後,一些資料剖析師則表明比特幣在必定情況下是能夠追溯的,只是需求更多的資料和成正本完結。大資料時代,只需有行為發作就會被記載,經過不一樣途徑來源的資料集合剖析後,或許就會破除資料的匿名性。
在本次爬取中為了去重引進redis來處理重復資料,運用mysql資料庫進行當地語系化存儲資料,資料剖析則由sql句子直接完結。本次剖析的買賣記載均來自于逆向獲取的wannacry硬編碼的三個比特幣帳戶:
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn別的有有些安全廠商剖析顯示,wannacry在連接TOR網路後,會動態為每個使用者獲取一個比特幣收款帳戶,這麼每台受害者的電腦都會得到不一樣的付款位址,剖析人員也無法計算攻擊者運用了多少個付款地址,牽扯到的敲詐金額也無法確切計算。顯然這已經超出本次剖析的能力,所以這篇文章只對上面的三個帳戶進行剖析。
選擇btc.com網站作為買賣記載的資料來源,對有關資料進行爬取剖析,爬蟲爬取資料的道路大致如下:
由錢包地址,可獲取該錢包的一切買賣明細。
由錢包頁面的交易明細可以進入某次交易的詳情頁面。
交易資訊都記錄在區塊上,而與本次交易相關聯的區塊(即比特幣的上/下次交易資訊)的連結,同樣可在本頁面獲取(上圖紅色區域)。
由此可知,我們只要不斷去反覆運算追溯交易的上下游,就可以獲得整個比特幣的運動軌跡,即資金流向。這樣豈不是可以查到這三個帳戶的資金去向嗎?很遺憾,截至發稿前,這三個帳戶沒有資金流出,即沒有構成下游來供分析者追查。
Q:為何收了錢卻不用呢?
A:我們不妨大開腦洞猜測一下:
maybe1:這次事情波及範圍太廣,遠超作案者預期,導致心怯不敢用錢;至此,我們無法對資金的去向進行分析,但是既然上游是可以查的,不妨讓我們一起看看匯入這三個帳戶的錢都是怎麼來的吧!!!
“詳解”wannacry交易記錄
爬蟲首要搜集兩類資訊:
1、買賣區塊根本資訊
2、買賣明細
因為買賣區塊中記載的帳戶並非一對一,通常出現多對多的方式,所以在存儲時按條存儲,分輸入、輸出兩類。
剖析一:攻擊者帳戶買賣根本資訊
對三個帳戶進行搜集,三個帳戶共有300次買賣,共532個輸入帳戶,3790個輸出帳戶。
從買賣次數能夠看出,12日wannacry迸發後,13日迎來了第一個買賣頂峰,共61次。隨著15日(星期一)的到來,許多公司或許出於康復事務的需求,挑選花錢買平安,迎來了最頂峰84次。
三個帳戶餘額分佈圖能夠看出金額根本均分,從必定程度上能夠看出程式內部對各帳戶的挑選是隨機的。
其帳戶詳細金額為
錢包地址收款金額買賣次數115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn13.9145723 BTC9612t9YDPgwueZ9NyMgw519p7AA8isjr6SMw17.1774194 BTC10313AM4VW2dhxYgXeQepoHkHSQuy6NgaEb9419.0258628 BTC120
三個帳戶的第一筆買賣id為cce780ee91f0eda86d733f8fa93e23eb676ea1dd43c0822353501de61414ece9,轉入13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94帳戶。圖11.png
其間最大的買賣發作在下圖,有1.999BTC。最小的則只需0.00000563BTC。
剖析二:資金流
咱們獲取帳戶13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94的一切買賣記載,畫出資金聯繫圖。
PS:赤色點:買賣區塊;綠色點:比特幣錢包帳戶;藍色線:資金由錢包輸入;橙色線:資金輸出到錢包。
該圖很明顯看出位於基地的節點就是帳戶13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94,部分擴大圖。
然後順著這個帳戶的一切買賣記載向上追溯(因為資料量太大,只追溯一部分),得到的聯繫圖如下。
如此雜亂的圖現已很難從中找到聯繫了。。。。期望大牛給出一個解決方案
為了下降難度,簡化問題。現只對id為f25d1ab85c889d601f3981c7bd3d33c55e91ec549cf46d69104bbef30361c81e的買賣記載進行追溯,而且只沿第一個輸入帳戶向上追溯,即只把第一個輸入帳戶的前一個買賣塊作為追溯途徑,而不對別的輸入項進行追溯,這麼會減少節點規劃。共獲取184筆買賣,觸及帳戶5446個,有一筆買賣是來源於挖礦3437518aef70276e2b0101d7556e436a4cb00fc4dda6b5db9822b9aafb91be52。
上圖為依據上述資料製作的買賣聯繫全域圖,能夠看到雖然經過了必定的簡化,照舊構成了雜亂的圖。
部分擴大圖能夠看到許多綠點銜接同一個紅點構成樹狀構造,這代表同一筆買賣由多個帳戶共同完結。
紅點為買賣記載塊,綠點為錢包,藍線為轉出,橙線的轉入,這麼咱們就能夠得到一條如上圖所示的資金流向圖。
寫在最終
因為wannacry的三個帳戶並沒有發作任何的轉出行為,所以不能順著資金的下流流向來進行剖析,這是這篇文章的惋惜的地方。而關於比特幣帳戶的匿名性,並不能確保在任何時候均有用,在本次勒索軟體事情發作後,一些資料剖析師則表明比特幣在必定情況下是能夠追溯的,只是需求更多的資料和成正本完結。大資料時代,只需有行為發作就會被記載,經過不一樣途徑來源的資料集合剖析後,或許就會破除資料的匿名性。