赛门铁克称 WannaCry 与黑客组织 Lazarus 有关，但无民族或国家资助特点

本篇文章4355字，读完约11分钟

来自雷锋的消息。5月23日，雷锋。(公开号码:雷锋。com)收到一条来自赛门铁克的消息，称ransomware wannacry攻击中使用的工具和基础设施与lazarus密切相关。该团伙对索尼影业进行了毁灭性的攻击，并从孟加拉中央银行窃取了8100万美元。

雷锋。得知拉扎勒斯是一个“朝鲜黑客组织”，在幕后得到朝鲜的支持。然而，赛门铁克表示，恶意攻击不具备由少数民族或国家资助的活动的特征，更像是典型的网络犯罪活动。

以下是赛门铁克的具体分析报告:

在5月12日全球爆发万纳克利之前，其早期版本(兰森·万纳克利)在2月、3月和4月被用于实施少量有针对性的袭击。除了传播方式不同之外，早期版本的wannacry与2017年5月的版本基本相同。赛门铁克的安全响应团队分析了wannacry的早期攻击，发现网络攻击者使用的工具、技术和基础设施与lazarus攻击时间之前看到的有很多共同之处，这表明lazarus很可能是wannacry传播的幕后黑手。虽然它与拉撒路有关，但这种恶意攻击并不具有国家或国家资助的活动的特征，而更像是一种典型的网络犯罪活动。这些早期版本的wannacry使用窃取的认证信息在网络中传播，而不是使用泄露的“永恒的蓝色”工具。“永恒的蓝色”在5月12日引起了狂热在全世界迅速蔓延。

在wanna crey 2月份的第一次攻击后，我们在受害者的网络上发现了lazarus相关恶意软件的三个组件:特洛伊木马、volgmer和后门程序destover，这是索尼影业攻击中使用的磁盘数据清理工具。

特洛伊木马被用来在三月和四月传播病毒。这种病毒是后门程序duuzer的一个修改版本，之前与lazarus有关。

特洛伊. bra venc使用与后门. duuzer和后门. destover相同的ip地址进行命令和控制，后两者与lazarus相关联。

backlog . bra venc的代码混淆方法类似于wannacry和info leaker . fake pude(与lazarus相关)。

此外，wannacry和后门contopee之间有一个共享代码，它以前与lazarus有关。

2月的攻击2017年2月10日，赛门铁克发现了第一个证据，表明当一个组织被感染时，万纳瑞在网络中出现了混乱。在第一次感染的两分钟内，组织中的100多台计算机被感染。

网络攻击者在受害者的网络上留下了几个工具，这为wannacry的传播模式提供了确凿的证据。我们在受影响的计算机上发现了两个文件，即mks.exe和hptasks.exe(见附录三:感染指数)。Mks.exe是mimikatz(黑客工具. mimikatz)的变种，mimikatz是一个密码转储工具，广泛用于有针对性的攻击。第二个文件，hptasks.exe，被用来通过使用mks.exe窃取的密码在其他网络计算机上复制和执行恶意软件。

万纳克利在hptasks.exe的传播有两个阶段。在第一阶段，hptasks可以在运行后将ip地址目标列表作为参数传递。当给出这个命令时，hptasks将读取一个名为“CG . trey”的文件中以前窃取的身份验证信息，并使用它来连接ip地址范围组中的所有计算机。所有连接尝试都记录在log.dat文件中。如果远程计算机连接成功，文件将被。res后缀将不存在于文件夹admin$或c $ \窗口中，然后hptasks.exe将在远程计算机上复制表2中列出的文件。

在hptasks.exe在远程计算机上执行完模拟后，第二阶段开始了。Hptasks可以将许多参数传递给远程计算机上想要的安装程序，包括一个组的新ip地址。如果wannacry以这些ip地址作为参数运行，则不能加密本地计算机上的文件。但是，wannacry可以连接到提供的ip地址，通过使用嵌入在c.wry资源段中的身份验证信息访问这些计算机上的admin$和c$共享文件，然后远程加密这些文件。

除了hptasks.exe和mks.exe，我们在受害者网络的第二台计算机上发现了其他五个恶意软件组件。这五个工具中有三个与拉撒路有关。索尼电影公司在攻击中使用了两种不同的工具destover。第三个是特洛伊木马病毒，拉扎勒斯以前曾用它攻击韩国的目标。

三月和四月的袭击自3月27日以来，至少有五个机构被新的病毒感染。这些攻击似乎没有固定的模式，被攻击的机构涉及不同的行业和不同的地理位置。然而，这些攻击揭示了旺纳奇和拉撒路之间关系的其他证据。

为了部署恶意软件，这些攻击使用两个不同的后门:特洛伊木马。阿尔法数控和特洛伊木马。虚张声势。阿尔法数控用于在属于至少两个已知受害者的计算机上放置恶意软件，并在所有受害者的计算机上部署稍加调整的恶意软件。

大量的alphanc代码与后门相同。duuzer是Destop的一个子类，Destop是索尼影业攻击中使用的一个数据清理工具(见附录B:共享代码)。事实上，赛门铁克的研究人员认为alphanc是duuzer的进化过程。Duuzer以前与后门. joanap和特洛伊. volgmer的活动有关联，这两者以前都与lazarus有关联。

赛门铁克研究人员能够在受害者系统上创建一个详细的alphanc活动时间表，从病毒登录到系统到部署wannacry。

alphanc活动计划alphanc作为armsvc.exe部署到目标计算机，几分钟后使用新文件名javaupdate.exe复制自身。样本执行从以下位置开始:

cmd.exe/c "复制c:\用户\管理员\appdata\armsvc.exe

c:\ windows \ system32 \ Java update . exe >

c:\ user \密文\ appdata \ local \ temp \ nk15 da . tmp " 2 > & 1

几分钟后，系统将创建并执行一个mks.exe身份验证信息转储(与wannacry在2月份使用的身份验证信息转储相同)。三天没有任何活动之后，网络攻击者发回并部署了rar版本，并创建了一个受密码保护的文档。片刻之后，一个名为“g.exe”的网络扫描仪开始运行。这个程序对网络攻击者选择的ip地址范围内的所有ip地址执行域名解析，可能是为了确定他们感兴趣的计算机。在网络攻击者将配置文件发送回本地网络之前，将有两天的时间间隔。使用的命令示例包括:

cmd.exe/c " net view > c:\ user \密文\ appdata \ local \ temp \ NK 2301 . tmp " 2 > & 1

cmd.exe/c " net view/domain > c:\ users \密文\ appdata \ local \ temp \ nk6c 42 . tmp " 2 > & 1

cmd.exe/c " time/t > c:\ user \密文\ appdata \ local \ temp \ nkc 74 f . tmp " 2 > & 1

在那之后，javaupdate.exe创建了文件taskhcst.exec这是ransomware的目标。那个。exec后缀被重命名为。exe，如下所示。这可能是一种安全检查，这样网络攻击者就不会错误地过早执行该文件。

cmd.exe/c " ren c:\ windows \ tashcst . exec taskhcst.exe >

c:\ user \密文\ appdata \ local \ temp \ NK 833d . tmp " 2 > & 1

将近45分钟后，网络攻击者将后门javaupdate.exe复制到远程计算机。之后，网络攻击者还在这台计算机上粘贴了一个名为“bcremote.exe”的文件；该文件与二月袭击中名为hptasks.exe的工具相同，该工具被用来在互联网上散布谣言。Wannacry然后复制该文件的配置文件，最后复制它自己:

cmd.exe/c " net use \ \密文\ ipc $密文/u:密文> c:\ user \密文\ appdata \ local \ temp \ nk2e . tmp " 2 > & 1

cmd.exe/c "复制c:\ windows \ system32 \ javaupdate . exe \ \密文\ c $ \ windows \ javaupdate . exe > c:\用户\密文数据\本地\临时\nk3e49.tmp" 2>&1

cmd.exe/c "复制c:\ windows \ bere mote . exe \ \密文\ c $ \ windows \ > c:\用户\密文\ appdata \ local \ temp \ nk4d 5 . tmp " 2 > & 1

cmd.exe/c "复制c:\ windows \ c . trey \ \密文\ c $ \ windows \ > c:\用户\密文\ appdata \ local \ temp \ NK 7228 . tmp " 2 > & 1

cmd.exe/c "复制c:\windows\taskh*。exe \ \密文\ c $ \ windows \ > c:\用户\密文\ appdata \ local \ temp \ nk7 DCF . tmp " 2 > & 1

相同的程序将在网络上的第二个服务器上执行。在执行了bcremote.exe的命令后，这种狂热将会传遍整个网络。

这个程序被用来在至少另外两个受害者的电脑上安装木马，这表明它与拉扎勒斯团伙有明显的联系。

该程序连接到87.101.243.252的命令和控制(c&c)服务器，其ip地址与destover(lazrus的著名工具)示例中使用的IP地址相同。蓝衣在首尔给索尼的报告中也提到了这个ip地址。

我们还发现duuzer使用这个ip地址作为c&c服务器。bravonc和destover的变体也共享与密码相关的代码(参见附录B:共享代码)。此外，bravonc的传播模式(在smb上使用硬编码认证信息)使用与joanap相同的技术，Joan AP是与lazarus相关的另一个工具。

五月袭击:崇拜开始在世界各地蔓延。5月12日，一个新版本的wannacry发布了，它集成了泄露的“永恒的蓝色”工具。“永恒的蓝色”可以利用windows中的两个已知漏洞(cve-2017-0144和cve-2017-0145)向受害者网络中没有补丁的计算机传播软件，也可以被使用。

随着“永恒的蓝色”的整合，wannacry已经从一个只能在有限的目标攻击中使用的危险工具变成了近年来最恶毒的恶意软件。这种恶意软件造成了广泛的破坏，许多组织被感染，一些组织被迫离线升级他们的计算机。Malwaretech关于网络安全的博客文章介绍了这种恶意软件杀手的发现和触发原理，从而限制了它的传播和危害。

早期版本的wannacry与5月12日袭击中使用的版本基本相同，但有一些小的变化，主要是因为后者集成了“永恒的蓝色”的工具。用于加密zip文件的密码嵌入在wannacry releaser中，它类似于其他两个版本(“wcry@123”、“wcry@2016”和“wncry @ 2017”)，表明这两个软件版本的作者可能来自同一个团伙。

wannacry的第一个版本使用了少量的比特币客户端，并且没有被广泛传播，这表明它不是许多网络犯罪团伙共享的工具。同时，这也进一步证明了这两个版本的wannacry都是由一个团伙操纵的。

万纳克里和拉扎勒斯有关联。除了wanna cky的通讯工具相似之外，wanna cky本身也与拉撒路帮派有许多联系。该软件与恶意软件后门contopee共享了一些代码，conto pee之前与lazarus有关联。contopee的一个变体使用了一个自定义的ssl工具，它的加密套件与wannacry使用的相同。在这两种情况下，加密套件都使用相同的密码集，并且有75种不同的密码可供选择(不像openssl有300多种密码)。

此外，wannacry的代码混淆方法类似于info clever . fake pude，它以前与lazarus有关。此外，特洛伊. alphanc(一种用于在3月和4月传播恶意的恶意软件)也与拉撒路有关(见上文)。

意外泄漏使万能药成为全球威胁。少量早期攻击的发现提供了强有力的证据，证明赎金与拉撒路团伙有关。这些早期的攻击显然使用了与拉撒路相关的工具、代码和基础设施，并且通过后门程序传播和窃取认证信息的方式也与拉撒路以前的攻击一致。“永恒的蓝色”所使用的工具的泄露使得网络攻击者能够在依靠自己的工具时，使其变得比固件更强大。这是因为网络攻击者可以绕过以前必须执行的许多步骤，而不会窃取身份验证信息，也不会在计算机之间相互复制和粘贴。

雷锋文章版权所有。严禁擅自转载。详情请参考转载说明。

来源：搜狐微门户