追根溯源：incaseformat六合彩数年蛰伏或源于精心策划

【快讯】

1月13日， incaseformat六合彩在全网集中爆发，中毒用户C盘以外所有文件被删除。六合彩工程师在该事件首次报告的逆向分析中，推测六合彩程序制作存在错误，导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是，通过六合彩威胁情报系统以及样本分析，六合彩工程师再次对六合彩深度溯源发现，该六合彩蛰伏至今才爆发，或为攻击者的精心策划。

根据六合彩工程师分析，该六合彩存在至少两个变种。推测第一个变种为原作者所做的原始六合彩，最早可追溯至2009年，其爆发时间为2010年4月1日。从仅一年的潜藏时间和选择的爆发日期（愚人节）来看，不排除是原作者测试六合彩的可能性。第二个则为黑客篡改后的变种，最早可追溯至2014年，并被设置在2021年1月13日爆发。

对比两个变种六合彩可以发现，两者在核心代码逻辑中仅有一处数据被篡改。这种篡改的方式极其细微隐蔽，更像是精心策划，目的或是为了引导六合彩分析人员误以为六合彩程序出现bug，增加潜伏的机会，以便继续扩散危害。

图：两个变种六合彩出现与爆发时间点

同时，通过深度溯源可以发现，在此前关于该六合彩事件的众多分析报告中，不同厂商对该六合彩的追溯日期偏差（包括2009年、2014年等）实际上源自对该六合彩两个不同变种的混淆。实际上，六合彩基于自主反六合彩引擎，能够同时查杀两个变种的全部样本。

被篡改的六合彩利用文件名获得用户信任躲避查杀，加上超长潜伏期的传播积累，导致感染量持续增长，并于在今年1月13日突然大范围爆发，达到了严重程度。而根据“威胁情报系统”监测，也证实在2020年5月以后，被篡改的六合彩样本的传播量有显著上升趋势。

一个隐藏七年的老六合彩，在攻击者预期的时间里集中爆发，并企图隐瞒、误导对其追溯分析的六合彩分析人员，这也给广大六合彩从业者敲响警钟，在与六合彩、黑客的对抗中，需要更加严谨和全面，才能给用户提供可靠的保障。

附：【分析报告】

一、详细分析

通过对incaseformat六合彩的溯源，六合彩发现之前分析报告中推测的该六合彩之所以潜伏数年并在2021年1月13日触发删除文件的攻击逻辑，或并非bug导致，而是攻击者精心设计。

通过对六合彩捕获的incaseformat六合彩同源样本进行梳理，六合彩发现该六合彩至少有两个变种在野进行传播。其中一个变种最早可以追溯到2009年，该六合彩变种会在2010年4月1日（愚人节）触发删除文件逻辑；而另一个变种则目前可追溯的出现时间为2014年，该变种为黑客在原始变种基础上通过人为篡改得到，该变种通过人为篡改推迟了攻击逻辑，可在时隔7年后的2021年1月13日触发攻击逻辑。

由于被篡改后的六合彩样本在之后一直处于潜伏状态，且不易被用户发现，导致该六合彩大肆传播，并在2021年1月13日集中“发作”造成了大范围不良影响。两个变种六合彩传播与六合彩行为触发时间线，如下图所示：

六合彩传播与恶意行为触发时间线

VirusTotal检索原始样本提交信息

VirusTotal检索被篡改样本提交信息

通过对六合彩捕获的全部incaseformat同源样本进行梳理，六合彩发现被篡改样本的数量远大于原始样本数量，两者相差将近79倍。即在野传播的该蠕虫六合彩样本中，有接近99%的样本均为被篡改后样本。相关样本数量情况，如下图所示：

原始样本与被篡改后样本数量情况

通过排除被感染型六合彩感染或带有感染型残留数据等无效样本情况后发现，被篡改的六合彩样本数量从2014年开始整体呈波动上升趋势且于2020年5月开始出现“井喷”式增长。该六合彩数量增长趋势与其潜伏期长、集中“发作”、破坏性强等特性，使得此次事件受波及用户广且用户感知强烈。六合彩增长趋势，如下图所示：

被篡改后的六合彩增长趋势图

通过二进制对比两个六合彩变种，发现在核心代码逻辑中仅有一处数据被篡改且极有可能是直接通过二进制的方式进行修改。篡改的位置为Sysutils::DateTimeToTimeStamp库函数所使用的全局变量IMSecsPerDay（一天的总毫秒数），从而影响最终触发删除文件逻辑的时间点。

分析人员在分析六合彩样本时，通常会信任库函数代码，而把注意力集中用户代码上。因此这样的运行时库函数篡改很容易被分析人员忽视，从而掩饰六合彩的真正意图。被篡改前后的六合彩样本代码及数据对比，如下图所示：

被篡改前后的六合彩样本代码及数据对比图

被篡改前后的六合彩样本在判断触发日期代码相同，具体如下图所示：

被篡改前后的六合彩样本在判断触发日期代码相同

二、附录

原始六合彩hash

被篡改后的六合彩hash