设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 安全 > 正文

赛门铁克称 WannaCry 与黑客组织 Lazarus 有关,但没提朝鲜(2)

发布时间:2017-05-27 10:13 所属栏目:53 来源:雷锋网
导读:将近45分钟之后,网络攻击者将后门程序javaupdate.exe复制至远程计算机之上。之后,网络攻击者还在此计算机粘贴了一个名为“bcremote.exe”的文件;该文件和二月份攻击中名为hptasks.exe的工具相同,用以在网络上传

将近45分钟之后,网络攻击者将后门程序javaupdate.exe复制至远程计算机之上。之后,网络攻击者还在此计算机粘贴了一个名为“bcremote.exe”的文件;该文件和二月份攻击中名为hptasks.exe的工具相同,用以在网络上传播WannaCry。WannaCry随后复制此文件的配置文件,并最终进行自我复制:

cmd.exe /c "net use \\REDACTED\ipc$REDACTED/u:REDACTED> C:\Users\REDACTED\AppData\Local\Temp\NK2E.tmp" 2>&1 cmd.exe /c "copy c:\windows\system32\javaupdate.exe \\REDACTED\c$\windows\javaupdate.exe > C:\Users\REDACTEDAppData\Local\Temp\NK3E49.tmp" 2>&1 cmd.exe /c "copy c:\windows\beremote.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK4DD5.tmp" 2>&1 cmd.exe /c "copy c:\windows\c.wry \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7228.tmp" 2>&1 cmd.exe /c "copy c:\windows\taskh*.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7DCF.tmp" 2>&1

相同程序还会在网络上的第二台服务器上进行,执行bcremote.exe命令后,WannaCry便在整个网络中开始传播。

Trojan.Bravonc

有关Trojan.Bravonc的运行信息很少,该程序用以将WannaCry放于至少两名其他受害者的计算机之上,表明其与Lazarus团伙有着相当明确的关联。

该程序连接IP地址87.101.243.252上的命令和控制(C&C)服务器,该IP地址与Destover(Lazrus的一款知名工具)示例中使用的IP地址相同。Blue Coat在《从首尔到索尼报告》中也提及了此IP地址。

我们还发现Duuzer用此IP地址作为C&C服务器。Bravonc和Destover的一个变体还共享密码相关代码(参见附录B:共享代码)。此外,Bravonc的传播方式(在SMB上使用硬编码认证信息)与Lazarus相关的另一个工具Joanap使用了相同的技术。

五月份攻击:WannaCry开始在全球范围内传播

5月12日,整合已泄露“永恒之蓝”利用工具的新版WannaCry发布了,“永恒之蓝”可使用Windows中的两个已知漏洞(CVE-2017-0144和CVE-2017-0145)将勒索软件传播至受害者网络中未安装补丁的计算机之上,也可将其传播至与互联网连接的其他安全防范薄弱的计算机之上。

整合“永恒之蓝”之后,WannaCry从仅能在受限数量目标性攻击中使用的危险工具转变成一个近年来最为恶性的恶意软件。这种恶意软件造成了大范围破坏,很多机构受到感染,还有一些机构被迫对计算机进行离线软件升级。MalwareTech的一篇网络安全博文介绍了对该恶意软件杀手锏的发现和触发原理,从而制限制了它的传播和危害。

早期版本的WannaCry和5月12日攻击中所使用的在很大程度上是相同的,但也有一些小更改,主要是后者对“永恒之蓝”利用工具进行了整合。用以加密Zip文件的密码嵌入于WannaCry 释放器之中,与其他两个版本相似(“wcry@123”、“wcry@2016”和 “WNcry@2ol7”),说明这两个版本软件的作者可能来自同一个团伙。

第一个版本的WannaCry使用了少量的比特币客户端,而且传播性不广,这说明其不是众多网络犯罪团伙所共享的工具。同时也进一步证明了两个版本的WannaCry都由一个团伙所操作。

WannaCry与Lazarus相关联

除了WannaCry传播工具的相同性之外,WannaCry本身和Lazarus团伙还有着很多关联。该勒索软件与恶意软件Backdoor.Contopee共享了一些代码,而后者先前与Lazarus有所关联。Contopee的一个变体使用了自定义SSL工具, 其加密套件与WannaCry所用的相同。在这两个例子中,加密套件均使用了相同组的密码,共75个不同密码可供选择(与拥有300多个密码的OpenSSL不同)。

此外,WannaCry的代码混淆方法与Infostealer.Fakepude类似,而后者先前与Lazarus有所关联;而且,三月和四月份用以传播WannaCry的恶意软件Trojan.Alphanc也与Lazarus 有所关联(请参见上文)。

偶然泄漏使WannaCry变成了全球性威胁

对少量WannaCry早期攻击事件的发现,提供了该勒索软件与Lazarus团伙有所关联的强力证据。这些早期攻击明显使用了先前与Lazarus 相关的工具、代码和基础设施,而且通过后门程序和盗取认证信息进行传播的方式也与Lazarus先前的攻击相一致。“永恒之蓝”利用工具的泄漏使网络攻击者能够将WannaCry变得更为强大,远远比该勒索软件在依赖自有工具时强大得多。这是因为网络攻击者借此能够绕过很多之前必须执行的步骤,无需再盗取认证信息并在计算机之间互相复制粘贴。

雷锋网版权文章,未经授权禁止转载。

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读