赛门铁克称 WannaCry 与黑客组织 Lazarus 有关,但没提朝鲜
雷锋网消息,5月23日,雷锋网收到赛门铁克公司发来的一则消息,称勒索软件 WannaCry 攻击事件中使用的工具和基础设施与 Lazarus 有着紧密联系。该团伙曾对索尼影业公司进行摧毁性攻击,还曾从孟加拉央行盗取8100万美元。 雷锋网了解到,此前,网传 Lazarus 幕后有朝鲜的支持,是一“朝鲜黑客组织”,但是,赛门铁克称,WannaCry 攻击事件并不具有民族或国家所资助活动的特点,更像是典型的网络犯罪活动。 以下是赛门铁克对此的具体分析报告:在5月12日WannaCry全球性爆发前,其早期版本(Ransom.Wannacry) 曾在二月、三月和四月份用以执行少量目标性攻击。早期版本的WannaCry和2017年5月的版本基本相同,只是传播方式有所差别。赛门铁克安全响应团队对WannaCry早期攻击进行了分析,发现网络攻击者所使用的工具、技术和基础设施与之前Lazarus攻击时间中所见到的有大量共同点,这说明Lazarus极有可能就是传播WannaCry的幕后黑手。尽管与Lazarus有关联,但WannaCry攻击事件并不具有民族或国家所资助活动的特点,更像是典型的网络犯罪活动。这些早期版本的WannaCry使用盗取的认证信息在网络中传播,而不是利用泄露的 “永恒之蓝” 利用工具。“永恒之蓝”导致WannaCry于5月12日期快速在全球范围扩散。 关系总结在WannaCry于二月份的首次攻击之后,我们在受害者网络上发现了与Lazarus有关恶意软件的三个组成部分:Trojan.Volgmer和Backdoor.Destover的两个变体,后者是索尼影业公司攻击事件中所使用的磁盘数据清除工具。 Trojan.Alphanc用以在三月和四月份中传播WannaCry,该病毒是Backdoor.Duuzer的修正版,而Backdoor.Duuzer之前与Lazarus有所关联。 Trojan.Bravonc与Backdoor.Duuzer和Backdoor.Destover使用相同的IP地址以进行命令和控制,而后两者均与Lazarus有所关联。 Backdoor.Bravonc的代码混淆方法和WannaCry与Infostealer.Fakepude(与Lazarus有所关联)相似。 而且,WannaCry和之前与Lazarus相关的 Backdoor.Contopee之间存在共享代码。 二月份的攻击2017年2月10日,赛门铁克发现了WannaCry在网络中作乱的首个证据,当时有一家机构受到了感染。在首次感染的两分钟内,机构中的100多台计算机便遭到了感染。 网络攻击者在受害者网络上留下了几个工具,从而提供了WannaCry传播方式的确凿证据。我们在一台受影响的计算机上发现了两个文件,即mks.exe和hptasks.exe(参见附录C:感染指标)。mks.exe这个文件是Mimikatz(Hacktool.Mimikatz)的一个变体,而Mimikatz则是广泛用于目标性攻击中的密码转储工具。第二个文件hptasks.exe用以使用mks.exe盗取的密码,在其他网络计算机上复制和执行WannaCry。 WannaCry通过hptasks.exe传播有两个阶段的过程。在第一阶段,hptasks运行后可传递一个IP地址的目标清单,将其作为一个参数。在给出这条命令时,hptasks将在一个名为“cg.wry”的文件中读取之前盗取的认证信息,并用其连接IP地址范围组内的所有计算机。所有连接尝试均记录于log.dat文件。如果成功连接远程计算机,则Admin$或C$\Windows这两个文件夹中将不存在带有.res后缀名的文件,之后hptasks.exe将把表2中列出的文件复制在远程计算机之上。 在hptasks.exe在远程计算机上执行WannaCry之后,第二阶段开始。hptasks可将多个参数传递到远程计算机上的WannaCry安装程序,包括一个组新的IP地址。如果WannaCry作为参数与这些IP地址一起运行,则不能加密本地计算机上的文件。然而,WannaCry可与传递的IP地址相连,使用文件c.wry资源段中嵌入的认证信息,访问这些计算机上的Admin$和C$分享文件,之后远程对这些文件进行加密。 除hptasks.exe和mks.exe外,我们在受害者网络的第二台计算机上发现了恶意软件的另外五个组成部分。这五个工具由三个与Lazarus有关。有两个是索尼影业公司攻击事件中所用工具Destover (Backdoor.Destover)的变体。第三个是Trojan.Volgmer,Lazarus之前曾用此恶意软件攻击南韩的目标。 三月和四月份的攻击自3月27日起,至少有五家机构遭到了新版WannaCry的感染。这些攻击事件似乎没有什么固定模式,受攻击的机构涉及各个行业,地理位置也各种各样。然而,这些攻击事件揭示了WannaCry和Lazarus背后之间关系的其他证据。 为了部署WannaCry,这些攻击使用了两种不同的后门程序:Trojan.Alphanc和Trojan.Bravonc。Alphanc用以将WannaCry放置于至少属于两名已知受害者的计算机之上,将略微调整的恶意软件部署至所有受害者的计算机上。 Alphanc的大量代码与Backdoor.Duuzer相同,而后者是索尼影业攻击事件中所用数据清除工具Destover的子类(参见附录B:共享代码)。事实上,赛门铁克研究人员认为Alphanc就是Duuzer的演变程序。Duuzer之前与Backdoor.Joanap和Trojan.Volgmer的活动也有所联系,而后两者先前均与Lazarus有关联。 赛门铁克研究人员能够创建Alphanc在受害者系统上活动的详细时间表,从该病毒登录系统开始到WannaCry部署完毕为止。 Alphanc活动时间表Alphanc作为armsvc.exe部署至目标计算机之上,并在几分钟后自行复制,并使用新文件名javaupdate.exe。样本从以下位置开始执行: cmd.exe /c "copy c:\Users\Administrator\AppData\armsvc.exe c:\windows\system32\javaupdate.exe > C:\Users\REDACTED\AppData\Local\Temp\NK15DA.tmp" 2>&1 几分钟后,系统将创建并执行认证信息转储器mks.exe(与二月份WannaCry使用的认证信息转储器相同)。之后三天没有任何活动,随后网络攻击者送回并部署RAR版本并创建密码保护文档。片刻之后,一个名为“g.exe”的网络扫描程序开始运行。该程序对网络攻击者所选择IP地址范围中的所有IP地址进行域名解析,很可能是为了确定其感兴趣的计算机。在网络攻击者将配置文件送回本地网络前,活动会有一个两天的间隔。所用命令示例包括: cmd.exe /c "net view > C:\Users\REDACTED\AppData\Local\Temp\NK2301.tmp" 2>&1 cmd.exe /c "net view /domain > C:\Users\REDACTED\AppData\Local\Temp\NK6C42.tmp" 2>&1 cmd.exe /c "time /t > C:\Users\REDACTED\AppData\Local\Temp\NKC74F.tmp" 2>&1 之后,javaupdate.exe创建文件taskhcst.exec。这便是勒索软件WannaCry。.exec后缀名重新更名为.exe,如下所示。这很可能是一个安全检查,使网络攻击者不会错误地过早执行此文件。 cmd.exe /c "ren C:\Windows\taskhcst.exec taskhcst.exe > C:\Users\REDACTED\AppData\Local\Temp\NK833D.tmp" 2>&1 (编辑:ASP站长网) |