El interruptor de apagado descubierto por Marcus Hutchins, el investigador de seguridad web, ¿cómo funcionó realmente ese interruptor de cierre? , el registro del nombre de dominio se debe haber hecho en el sistema del investigador, ¿cómo impidió que sea una baliza para todas las demás computadoras (esto sucedió o no?)
el registro del nombre de dominio se debe haber realizado en el sistema del investigador
No. El dominio se registró realmente y está disponible para todos:
~$ whois iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Domain Name: IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM
Registry Domain ID: 2123519849_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2017-06-22T16:05:38Z
Creation Date: 2017-05-12T15:08:04Z
Registry Expiry Date: 2023-05-12T15:08:04Z
El malware intentará conectarse a este dominio. Si tiene éxito, abortará, de lo contrario continuará.
El investigador que registró el dominio lo explica aquí .
En su investigación, primero ingresó al dominio en su archivo host, y luego de ver que detuvo el malware en su sistema local, registró el dominio, evitando que esta versión específica del malware dañara en cualquier sistema que podría conectarse al dominio (en realidad fue más un accidente, el investigador originalmente quería recopilar más información sobre el malware).
El investigador también adivina lo que los escritores de malware querían lograr con este "interruptor de interrupción":
En ciertos entornos de espacio aislado, el tráfico se intercepta respondiendo a todas las búsquedas de URL con una dirección IP que pertenece a la zona de pruebas en lugar de a la dirección IP real a la que apunta la URL. como se registró (lo que nunca debería ocurrir).
Creo que intentaban consultar un dominio no registrado intencionalmente que aparecería registrado en ciertos entornos de entornos aislados, luego, una vez que ven que el dominio responde, saben que están en un entorno seguro, el malware sale para evitar un análisis más profundo.
Funcionó porque el código comprobó que el dominio no respondió a una conexión. Cuando lo conectó a un servidor, éste respondió y el código se cerró.
En otras palabras, cuando el dominio estaba en línea, el código no completó su ejecución.
Como nota al margen, muchos investigadores no creen que haya sido un interruptor de apagado y posiblemente sea una forma de probar si estaba en un arenero.
Lea otras preguntas en las etiquetas wannacry