雷鋒網(wǎng)消息，5月23日，雷鋒網(wǎng)收到賽門鐵克公司發(fā)來(lái)的一則消息，稱勒索軟件 WannaCry 攻擊事件中使用的工具和基礎(chǔ)設(shè)施與 Lazarus 有著緊密聯(lián)系。該團(tuán)伙曾對(duì)索尼影業(yè)公司進(jìn)行摧毀性攻擊，還曾從孟加拉央行盜取8100萬(wàn)美元。

雷鋒網(wǎng)了解到，此前，網(wǎng)傳 Lazarus 幕后有朝鮮的支持，是一“朝鮮黑客組織”，但是，賽門鐵克稱，WannaCry 攻擊事件并不具有民族或國(guó)家所資助活動(dòng)的特點(diǎn)，更像是典型的網(wǎng)絡(luò)犯罪活動(dòng)。

以下是賽門鐵克對(duì)此的具體分析報(bào)告：

在5月12日WannaCry全球性爆發(fā)前，其早期版本(Ransom.Wannacry) 曾在二月、三月和四月份用以執(zhí)行少量目標(biāo)性攻擊。早期版本的WannaCry和2017年5月的版本基本相同，只是傳播方式有所差別。賽門鐵克安全響應(yīng)團(tuán)隊(duì)對(duì)WannaCry早期攻擊進(jìn)行了分析，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者所使用的工具、技術(shù)和基礎(chǔ)設(shè)施與之前Lazarus攻擊時(shí)間中所見(jiàn)到的有大量共同點(diǎn)，這說(shuō)明Lazarus極有可能就是傳播WannaCry的幕后黑手。盡管與Lazarus有關(guān)聯(lián)，但WannaCry攻擊事件并不具有民族或國(guó)家所資助活動(dòng)的特點(diǎn)，更像是典型的網(wǎng)絡(luò)犯罪活動(dòng)。這些早期版本的WannaCry使用盜取的認(rèn)證信息在網(wǎng)絡(luò)中傳播，而不是利用泄露的 “永恒之藍(lán)” 利用工具。“永恒之藍(lán)”導(dǎo)致WannaCry于5月12日期快速在全球范圍擴(kuò)散。

關(guān)系總結(jié)

在WannaCry于二月份的首次攻擊之后，我們?cè)谑芎φ呔W(wǎng)絡(luò)上發(fā)現(xiàn)了與Lazarus有關(guān)惡意軟件的三個(gè)組成部分：Trojan.Volgmer和Backdoor.Destover的兩個(gè)變體，后者是索尼影業(yè)公司攻擊事件中所使用的磁盤(pán)數(shù)據(jù)清除工具。

Trojan.Alphanc用以在三月和四月份中傳播WannaCry，該病毒是Backdoor.Duuzer的修正版，而B(niǎo)ackdoor.Duuzer之前與Lazarus有所關(guān)聯(lián)。

Trojan.Bravonc與Backdoor.Duuzer和Backdoor.Destover使用相同的IP地址以進(jìn)行命令和控制，而后兩者均與Lazarus有所關(guān)聯(lián)。

Backdoor.Bravonc的代碼混淆方法和WannaCry與Infostealer.Fakepude（與Lazarus有所關(guān)聯(lián)）相似。

而且，WannaCry和之前與Lazarus相關(guān)的      Backdoor.Contopee之間存在共享代碼。

二月份的攻擊

2017年2月10日，賽門鐵克發(fā)現(xiàn)了WannaCry在網(wǎng)絡(luò)中作亂的首個(gè)證據(jù)，當(dāng)時(shí)有一家機(jī)構(gòu)受到了感染。在首次感染的兩分鐘內(nèi)，機(jī)構(gòu)中的100多臺(tái)計(jì)算機(jī)便遭到了感染。

網(wǎng)絡(luò)攻擊者在受害者網(wǎng)絡(luò)上留下了幾個(gè)工具，從而提供了WannaCry傳播方式的確鑿證據(jù)。我們?cè)谝慌_(tái)受影響的計(jì)算機(jī)上發(fā)現(xiàn)了兩個(gè)文件，即mks.exe和hptasks.exe（參見(jiàn)附錄C：感染指標(biāo)）。mks.exe這個(gè)文件是Mimikatz(Hacktool.Mimikatz)的一個(gè)變體，而Mimikatz則是廣泛用于目標(biāo)性攻擊中的密碼轉(zhuǎn)儲(chǔ)工具。第二個(gè)文件hptasks.exe用以使用mks.exe盜取的密碼，在其他網(wǎng)絡(luò)計(jì)算機(jī)上復(fù)制和執(zhí)行WannaCry。

WannaCry通過(guò)hptasks.exe傳播有兩個(gè)階段的過(guò)程。在第一階段，hptasks運(yùn)行后可傳遞一個(gè)IP地址的目標(biāo)清單，將其作為一個(gè)參數(shù)。在給出這條命令時(shí)，hptasks將在一個(gè)名為“cg.wry”的文件中讀取之前盜取的認(rèn)證信息，并用其連接IP地址范圍組內(nèi)的所有計(jì)算機(jī)。所有連接嘗試均記錄于log.dat文件。如果成功連接遠(yuǎn)程計(jì)算機(jī)，則Admin$或C$\Windows這兩個(gè)文件夾中將不存在帶有.res后綴名的文件，之后hptasks.exe將把表2中列出的文件復(fù)制在遠(yuǎn)程計(jì)算機(jī)之上。

在hptasks.exe在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行WannaCry之后，第二階段開(kāi)始。hptasks可將多個(gè)參數(shù)傳遞到遠(yuǎn)程計(jì)算機(jī)上的WannaCry安裝程序，包括一個(gè)組新的IP地址。如果WannaCry作為參數(shù)與這些IP地址一起運(yùn)行，則不能加密本地計(jì)算機(jī)上的文件。然而，WannaCry可與傳遞的IP地址相連，使用文件c.wry資源段中嵌入的認(rèn)證信息，訪問(wèn)這些計(jì)算機(jī)上的Admin$和C$分享文件，之后遠(yuǎn)程對(duì)這些文件進(jìn)行加密。

除hptasks.exe和mks.exe外，我們?cè)谑芎φ呔W(wǎng)絡(luò)的第二臺(tái)計(jì)算機(jī)上發(fā)現(xiàn)了惡意軟件的另外五個(gè)組成部分。這五個(gè)工具由三個(gè)與Lazarus有關(guān)。有兩個(gè)是索尼影業(yè)公司攻擊事件中所用工具Destover (Backdoor.Destover)的變體。第三個(gè)是Trojan.Volgmer，Lazarus之前曾用此惡意軟件攻擊南韓的目標(biāo)。 

三月和四月份的攻擊

自3月27日起，至少有五家機(jī)構(gòu)遭到了新版WannaCry的感染。這些攻擊事件似乎沒(méi)有什么固定模式，受攻擊的機(jī)構(gòu)涉及各個(gè)行業(yè)，地理位置也各種各樣。然而，這些攻擊事件揭示了WannaCry和Lazarus背后之間關(guān)系的其他證據(jù)。

為了部署WannaCry，這些攻擊使用了兩種不同的后門程序：Trojan.Alphanc和Trojan.Bravonc。Alphanc用以將WannaCry放置于至少屬于兩名已知受害者的計(jì)算機(jī)之上，將略微調(diào)整的惡意軟件部署至所有受害者的計(jì)算機(jī)上。

Alphanc的大量代碼與Backdoor.Duuzer相同，而后者是索尼影業(yè)攻擊事件中所用數(shù)據(jù)清除工具Destover的子類（參見(jiàn)附錄B：共享代碼）。事實(shí)上，賽門鐵克研究人員認(rèn)為Alphanc就是Duuzer的演變程序。Duuzer之前與Backdoor.Joanap和Trojan.Volgmer的活動(dòng)也有所聯(lián)系，而后兩者先前均與Lazarus有關(guān)聯(lián)。

賽門鐵克研究人員能夠創(chuàng)建Alphanc在受害者系統(tǒng)上活動(dòng)的詳細(xì)時(shí)間表，從該病毒登錄系統(tǒng)開(kāi)始到WannaCry部署完畢為止。

Alphanc活動(dòng)時(shí)間表

Alphanc作為armsvc.exe部署至目標(biāo)計(jì)算機(jī)之上，并在幾分鐘后自行復(fù)制，并使用新文件名javaupdate.exe。樣本從以下位置開(kāi)始執(zhí)行：

cmd.exe /c "copy c:\Users\Administrator\AppData\armsvc.exe

c:\windows\system32\javaupdate.exe > 

C:\Users\REDACTED\AppData\Local\Temp\NK15DA.tmp" 2>&1

幾分鐘后，系統(tǒng)將創(chuàng)建并執(zhí)行認(rèn)證信息轉(zhuǎn)儲(chǔ)器mks.exe（與二月份WannaCry使用的認(rèn)證信息轉(zhuǎn)儲(chǔ)器相同）。之后三天沒(méi)有任何活動(dòng)，隨后網(wǎng)絡(luò)攻擊者送回并部署RAR版本并創(chuàng)建密碼保護(hù)文檔。片刻之后，一個(gè)名為“g.exe”的網(wǎng)絡(luò)掃描程序開(kāi)始運(yùn)行。該程序?qū)W(wǎng)絡(luò)攻擊者所選擇IP地址范圍中的所有IP地址進(jìn)行域名解析，很可能是為了確定其感興趣的計(jì)算機(jī)。在網(wǎng)絡(luò)攻擊者將配置文件送回本地網(wǎng)絡(luò)前，活動(dòng)會(huì)有一個(gè)兩天的間隔。所用命令示例包括：

cmd.exe /c "net view > C:\Users\REDACTED\AppData\Local\Temp\NK2301.tmp" 2>&1
cmd.exe /c "net view /domain > C:\Users\REDACTED\AppData\Local\Temp\NK6C42.tmp" 2>&1
cmd.exe /c "time /t > C:\Users\REDACTED\AppData\Local\Temp\NKC74F.tmp" 2>&1

之后，javaupdate.exe創(chuàng)建文件taskhcst.exec。這便是勒索軟件WannaCry。.exec后綴名重新更名為.exe，如下所示。這很可能是一個(gè)安全檢查，使網(wǎng)絡(luò)攻擊者不會(huì)錯(cuò)誤地過(guò)早執(zhí)行此文件。

cmd.exe /c "ren C:\Windows\taskhcst.exec taskhcst.exe >

 C:\Users\REDACTED\AppData\Local\Temp\NK833D.tmp" 2>&1

將近45分鐘之后，網(wǎng)絡(luò)攻擊者將后門程序javaupdate.exe復(fù)制至遠(yuǎn)程計(jì)算機(jī)之上。之后，網(wǎng)絡(luò)攻擊者還在此計(jì)算機(jī)粘貼了一個(gè)名為“bcremote.exe”的文件；該文件和二月份攻擊中名為hptasks.exe的工具相同，用以在網(wǎng)絡(luò)上傳播WannaCry。WannaCry隨后復(fù)制此文件的配置文件，并最終進(jìn)行自我復(fù)制：

cmd.exe /c "net use \\REDACTED\ipc$ REDACTED /u:REDACTED > C:\Users\REDACTED\AppData\Local\Temp\NK2E.tmp" 2>&1
cmd.exe /c "copy c:\windows\system32\javaupdate.exe \\REDACTED\c$\windows\javaupdate.exe > C:\Users\REDACTEDAppData\Local\Temp\NK3E49.tmp" 2>&1
cmd.exe /c "copy c:\windows\beremote.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK4DD5.tmp" 2>&1
cmd.exe /c "copy c:\windows\c.wry \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7228.tmp" 2>&1
cmd.exe /c "copy c:\windows\taskh*.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7DCF.tmp" 2>&1

相同程序還會(huì)在網(wǎng)絡(luò)上的第二臺(tái)服務(wù)器上進(jìn)行，執(zhí)行bcremote.exe命令后，WannaCry便在整個(gè)網(wǎng)絡(luò)中開(kāi)始傳播。

Trojan.Bravonc

有關(guān)Trojan.Bravonc的運(yùn)行信息很少，該程序用以將WannaCry放于至少兩名其他受害者的計(jì)算機(jī)之上，表明其與Lazarus團(tuán)伙有著相當(dāng)明確的關(guān)聯(lián)。

該程序連接IP地址87.101.243.252上的命令和控制(C&C)服務(wù)器，該IP地址與Destover（Lazrus的一款知名工具）示例中使用的IP地址相同。Blue Coat在《從首爾到索尼報(bào)告》中也提及了此IP地址。

我們還發(fā)現(xiàn)Duuzer用此IP地址作為C&C服務(wù)器。Bravonc和Destover的一個(gè)變體還共享密碼相關(guān)代碼（參見(jiàn)附錄B：共享代碼）。此外，Bravonc的傳播方式（在SMB上使用硬編碼認(rèn)證信息）與Lazarus相關(guān)的另一個(gè)工具Joanap使用了相同的技術(shù)。

五月份攻擊：WannaCry開(kāi)始在全球范圍內(nèi)傳播

5月12日，整合已泄露“永恒之藍(lán)”利用工具的新版WannaCry發(fā)布了，“永恒之藍(lán)”可使用Windows中的兩個(gè)已知漏洞（CVE-2017-0144和CVE-2017-0145）將勒索軟件傳播至受害者網(wǎng)絡(luò)中未安裝補(bǔ)丁的計(jì)算機(jī)之上，也可將其傳播至與互聯(lián)網(wǎng)連接的其他安全防范薄弱的計(jì)算機(jī)之上。

整合“永恒之藍(lán)”之后，WannaCry從僅能在受限數(shù)量目標(biāo)性攻擊中使用的危險(xiǎn)工具轉(zhuǎn)變成一個(gè)近年來(lái)最為惡性的惡意軟件。這種惡意軟件造成了大范圍破壞，很多機(jī)構(gòu)受到感染，還有一些機(jī)構(gòu)被迫對(duì)計(jì)算機(jī)進(jìn)行離線軟件升級(jí)。MalwareTech的一篇網(wǎng)絡(luò)安全博文介紹了對(duì)該惡意軟件殺手锏的發(fā)現(xiàn)和觸發(fā)原理，從而制限制了它的傳播和危害。

早期版本的WannaCry和5月12日攻擊中所使用的在很大程度上是相同的，但也有一些小更改，主要是后者對(duì)“永恒之藍(lán)”利用工具進(jìn)行了整合。用以加密Zip文件的密碼嵌入于WannaCry 釋放器之中，與其他兩個(gè)版本相似（“wcry@123”、“wcry@2016”和 “WNcry@2ol7”），說(shuō)明這兩個(gè)版本軟件的作者可能來(lái)自同一個(gè)團(tuán)伙。

第一個(gè)版本的WannaCry使用了少量的比特幣客戶端，而且傳播性不廣，這說(shuō)明其不是眾多網(wǎng)絡(luò)犯罪團(tuán)伙所共享的工具。同時(shí)也進(jìn)一步證明了兩個(gè)版本的WannaCry都由一個(gè)團(tuán)伙所操作。

WannaCry與Lazarus相關(guān)聯(lián)

除了WannaCry傳播工具的相同性之外，WannaCry本身和Lazarus團(tuán)伙還有著很多關(guān)聯(lián)。該勒索軟件與惡意軟件Backdoor.Contopee共享了一些代碼，而后者先前與Lazarus有所關(guān)聯(lián)。Contopee的一個(gè)變體使用了自定義SSL工具， 其加密套件與WannaCry所用的相同。在這兩個(gè)例子中，加密套件均使用了相同組的密碼，共75個(gè)不同密碼可供選擇（與擁有300多個(gè)密碼的OpenSSL不同）。

此外，WannaCry的代碼混淆方法與Infostealer.Fakepude類似，而后者先前與Lazarus有所關(guān)聯(lián)；而且，三月和四月份用以傳播WannaCry的惡意軟件Trojan.Alphanc也與Lazarus 有所關(guān)聯(lián)（請(qǐng)參見(jiàn)上文）。

偶然泄漏使WannaCry變成了全球性威脅

對(duì)少量WannaCry早期攻擊事件的發(fā)現(xiàn)，提供了該勒索軟件與Lazarus團(tuán)伙有所關(guān)聯(lián)的強(qiáng)力證據(jù)。這些早期攻擊明顯使用了先前與Lazarus 相關(guān)的工具、代碼和基礎(chǔ)設(shè)施，而且通過(guò)后門程序和盜取認(rèn)證信息進(jìn)行傳播的方式也與Lazarus先前的攻擊相一致?！坝篮阒{(lán)”利用工具的泄漏使網(wǎng)絡(luò)攻擊者能夠?qū)annaCry變得更為強(qiáng)大，遠(yuǎn)遠(yuǎn)比該勒索軟件在依賴自有工具時(shí)強(qiáng)大得多。這是因?yàn)榫W(wǎng)絡(luò)攻擊者借此能夠繞過(guò)很多之前必須執(zhí)行的步驟，無(wú)需再盜取認(rèn)證信息并在計(jì)算機(jī)之間互相復(fù)制粘貼。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。