博主呓语:

赛门铁克称WannaCry与黑客组织Lazarus有关,但没提朝鲜

Posted by 破冰 on 2017-5-24 15:35 Wednesday

5 月 23 日,雷锋网收到赛门铁克公司发来的一则消息,称勒索软件 WannaCry 攻击事件中使用的工具和基础设施与 Lazarus 有着紧密联系。该团伙曾对索尼影业公司进行摧毁性攻击,还曾从孟加拉央行盗取 8100 万美元。

我们了解到,此前,网传 Lazarus 幕后有朝鲜的支持,是一“朝鲜黑客组织”,但是,赛门铁克称,WannaCry 攻击事件并不具有民族或国家所资助活动的特点,更像是典型的网络犯罪活动。

以下是赛门铁克对此的具体分析报告:

在 5 月 12 日 WannaCry 全球性爆发前,其早期版本(Ransom.Wannacry) 曾在二月、三月和四月份用以执行少量目标性攻击。早期版本的 WannaCry 和 2017 年 5 月的版本基本相同,只是传播方式有所差别。赛门铁克安全响应团队对 WannaCry 早期攻击进行了分析,发现网络攻击者所使用的工具、技术和基础设施与之前 Lazarus 攻击时间中所见到的有大量共同点,这说明 Lazarus 极有可能就是传播 WannaCry 的幕后黑手。尽管与 Lazarus 有关联,但 WannaCry 攻击事件并不具有民族或国家所资助活动的特点,更像是典型的网络犯罪活动。这些早期版本的 WannaCry 使用盗取的认证信息在网络中传播,而不是利用泄露的 “永恒之蓝” 利用工具。“永恒之蓝”导致 WannaCry 于 5 月 12 日期快速在全球范围扩散。

关系总结

在 WannaCry 于二月份的首次攻击之后,我们在受害者网络上发现了与 Lazarus 有关恶意软件的三个组成部分:Trojan.Volgmer 和 Backdoor.Destover 的两个变体,后者是索尼影业公司攻击事件中所使用的磁盘数据清除工具。

Trojan.Alphanc 用以在三月和四月份中传播 WannaCry,该病毒是 Backdoor.Duuzer 的修正版,而 Backdoor.Duuzer 之前与 Lazarus 有所关联。

Trojan.Bravonc 与 Backdoor.Duuzer 和 Backdoor.Destover 使用相同的 IP 地址以进行命令和控制,而后两者均与 Lazarus 有所关联。

Backdoor.Bravonc 的代码混淆方法和 WannaCry 与 Infostealer.Fakepude(与 Lazarus 有所关联)相似。

而且,WannaCry 和之前与 Lazarus 相关的      Backdoor.Contopee 之间存在共享代码。

二月份的攻击

2017 年 2 月 10 日,赛门铁克发现了 WannaCry 在网络中作乱的首个证据,当时有一家机构受到了感染。在首次感染的两分钟内,机构中的 100 多台计算机便遭到了感染。

网络攻击者在受害者网络上留下了几个工具,从而提供了 WannaCry 传播方式的确凿证据。我们在一台受影响的计算机上发现了两个文件,即 mks.exe 和 hptasks.exe(参见附录C:感染指标)。mks.exe 这个文件是 Mimikatz (Hacktool.Mimikatz)的一个变体,而 Mimikatz 则是广泛用于目标性攻击中的密码转储工具。第二个文件 hptasks.exe 用以使用 mks.exe 盗取的密码,在其他网络计算机上复制和执行 WannaCry。

WannaCry 通过 hptasks.exe 传播有两个阶段的过程。在第一阶段,hptasks 运行后可传递一个 IP 地址的目标清单,将其作为一个参数。在给出这条命令时,hptasks 将在一个名为“cg.wry”的文件中读取之前盗取的认证信息,并用其连接 IP 地址范围组内的所有计算机。所有连接尝试均记录于 log.dat 文件。如果成功连接远程计算机,则 Admin$或C$\Windows 这两个文件夹中将不存在带有 .res 后缀名的文件,之后 hptasks.exe 将把表 2 中列出的文件复制在远程计算机之上。

赛门铁克称 WannaCry 与黑客组织 Lazarus 有关,但没提朝鲜

在 hptasks.exe 在远程计算机上执行 WannaCry 之后,第二阶段开始。hptasks 可将多个参数传递到远程计算机上的 WannaCry 安装程序,包括一个组新的 IP 地址。如果 WannaCry 作为参数与这些 IP 地址一起运行,则不能加密本地计算机上的文件。然而,WannaCry 可与传递的 IP 地址相连,使用文件c.wry 资源段中嵌入的认证信息,访问这些计算机上的 Admin$和C$分享文件,之后远程对这些文件进行加密。

除 hptasks.exe 和 mks.exe 外,我们在受害者网络的第二台计算机上发现了恶意软件的另外五个组成部分。这五个工具由三个与 Lazarus 有关。有两个是索尼影业公司攻击事件中所用工具 Destover (Backdoor.Destover)的变体。第三个是 Trojan.Volgmer,Lazarus 之前曾用此恶意软件攻击南韩的目标。 

三月和四月份的攻击

自 3 月 27 日起,至少有五家机构遭到了新版 WannaCry 的感染。这些攻击事件似乎没有什么固定模式,受攻击的机构涉及各个行业,地理位置也各种各样。然而,这些攻击事件揭示了 WannaCry 和 Lazarus 背后之间关系的其他证据。

为了部署 WannaCry,这些攻击使用了两种不同的后门程序:Trojan.Alphanc 和 Trojan.Bravonc。Alphanc 用以将 WannaCry 放置于至少属于两名已知受害者的计算机之上,将略微调整的恶意软件部署至所有受害者的计算机上。

Alphanc 的大量代码与 Backdoor.Duuzer 相同,而后者是索尼影业攻击事件中所用数据清除工具 Destover 的子类(参见附录B:共享代码)。事实上,赛门铁克研究人员认为 Alphanc 就是 Duuzer 的演变程序。Duuzer 之前与 Backdoor.Joanap 和 Trojan.Volgmer 的活动也有所联系,而后两者先前均与 Lazarus 有关联。

赛门铁克研究人员能够创建 Alphanc 在受害者系统上活动的详细时间表,从该病毒登录系统开始到 WannaCry 部署完毕为止。

Alphanc 活动时间表

Alphanc 作为 armsvc.exe 部署至目标计算机之上,并在几分钟后自行复制,并使用新文件名 javaupdate.exe。样本从以下位置开始执行:

cmd.exe /c "copy c:\Users\Administrator\AppData\armsvc.exe

c:\windows\system32\javaupdate.exe > 

C:\Users\REDACTED\AppData\Local\Temp\NK15DA.tmp" 2>&1

几分钟后,系统将创建并执行认证信息转储器 mks.exe(与二月份 WannaCry 使用的认证信息转储器相同)。之后三天没有任何活动,随后网络攻击者送回并部署 RAR 版本并创建密码保护文档。片刻之后,一个名为“g.exe”的网络扫描程序开始运行。该程序对网络攻击者所选择 IP 地址范围中的所有 IP 地址进行域名解析,很可能是为了确定其感兴趣的计算机。在网络攻击者将配置文件送回本地网络前,活动会有一个两天的间隔。所用命令示例包括:

cmd.exe /c "net view > C:\Users\REDACTED\AppData\Local\Temp\NK2301.tmp" 2>&1 cmd.exe /c "net view /domain > C:\Users\REDACTED\AppData\Local\Temp\NK6C42.tmp" 2>&1 cmd.exe /c "time /t > C:\Users\REDACTED\AppData\Local\Temp\NKC74F.tmp" 2>&1

之后,javaupdate.exe 创建文件 taskhcst.exec。这便是勒索软件 WannaCry。.exec 后缀名重新更名为 .exe,如下所示。这很可能是一个安全检查,使网络攻击者不会错误地过早执行此文件。

cmd.exe /c "ren C:\Windows\taskhcst.exec taskhcst.exe >

C:\Users\REDACTED\AppData\Local\Temp\NK833D.tmp" 2>&1

将近 45 分钟之后,网络攻击者将后门程序 javaupdate.exe 复制至远程计算机之上。之后,网络攻击者还在此计算机粘贴了一个名为“bcremote.exe”的文件;该文件和二月份攻击中名为 hptasks.exe 的工具相同,用以在网络上传播 WannaCry。WannaCry 随后复制此文件的配置文件,并最终进行自我复制:

cmd.exe /c "net use \\REDACTED\ipc$ REDACTED /u:REDACTED > C:\Users\REDACTED\AppData\Local\Temp\NK2E.tmp" 2>&1

cmd.exe /c "copy c:\windows\system32\javaupdate.exe \\REDACTED\c$\windows\javaupdate.exe > C:\Users\REDACTEDAppData\Local\Temp\NK3E49.tmp" 2>&1

cmd.exe /c "copy c:\windows\beremote.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK4DD5.tmp" 2>&1

cmd.exe /c "copy c:\windows\c.wry \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7228.tmp" 2>&1

cmd.exe /c "copy c:\windows\taskh*.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7DCF.tmp" 2>&1

相同程序还会在网络上的第二台服务器上进行,执行 bcremote.exe 命令后,WannaCry 便在整个网络中开始传播。

Trojan.Bravonc

有关 Trojan.Bravonc 的运行信息很少,该程序用以将 WannaCry 放于至少两名其他受害者的计算机之上,表明其与 Lazarus 团伙有着相当明确的关联。

该程序连接 IP 地址 87.101.243.252 上的命令和控制(C&C)服务器,该 IP 地址与 Destover(Lazrus 的一款知名工具)示例中使用的 IP 地址相同。Blue Coat 在《从首尔到索尼报告》中也提及了此 IP 地址。

我们还发现 Duuzer 用此 IP 地址作为C&C服务器。Bravonc 和 Destover 的一个变体还共享密码相关代码(参见附录B:共享代码)。此外,Bravonc 的传播方式(在 SMB 上使用硬编码认证信息)与 Lazarus 相关的另一个工具 Joanap 使用了相同的技术。

五月份攻击:WannaCry 开始在全球范围内传播

5 月 12 日,整合已泄露“永恒之蓝”利用工具的新版 WannaCry 发布了,“永恒之蓝”可使用 Windows 中的两个已知漏洞(CVE-2017-0144 和 CVE-2017-0145)将勒索软件传播至受害者网络中未安装补丁的计算机之上,也可将其传播至与互联网连接的其他安全防范薄弱的计算机之上。

整合“永恒之蓝”之后,WannaCry 从仅能在受限数量目标性攻击中使用的危险工具转变成一个近年来最为恶性的恶意软件。这种恶意软件造成了大范围破坏,很多机构受到感染,还有一些机构被迫对计算机进行离线软件升级。MalwareTech 的一篇网络安全博文介绍了对该恶意软件杀手锏的发现和触发原理,从而制限制了它的传播和危害。

早期版本的 WannaCry 和 5 月 12 日攻击中所使用的在很大程度上是相同的,但也有一些小更改,主要是后者对“永恒之蓝”利用工具进行了整合。用以加密 Zip 文件的密码嵌入于 WannaCry 释放器之中,与其他两个版本相似(“wcry@123”、“wcry@2016”和 “WNcry@2ol7”),说明这两个版本软件的作者可能来自同一个团伙。

第一个版本的 WannaCry 使用了少量的比特币客户端,而且传播性不广,这说明其不是众多网络犯罪团伙所共享的工具。同时也进一步证明了两个版本的 WannaCry 都由一个团伙所操作。

WannaCry 与 Lazarus 相关联

除了 WannaCry 传播工具的相同性之外,WannaCry 本身和 Lazarus 团伙还有着很多关联。该勒索软件与恶意软件 Backdoor.Contopee 共享了一些代码,而后者先前与 Lazarus 有所关联。Contopee 的一个变体使用了自定义 SSL 工具, 其加密套件与 WannaCry 所用的相同。在这两个例子中,加密套件均使用了相同组的密码,共 75 个不同密码可供选择(与拥有 300 多个密码的 OpenSSL 不同)。

此外,WannaCry 的代码混淆方法与 Infostealer.Fakepude 类似,而后者先前与 Lazarus 有所关联;而且,三月和四月份用以传播 WannaCry 的恶意软件 Trojan.Alphanc 也与 Lazarus 有所关联(请参见上文)。

偶然泄漏使 WannaCry 变成了全球性威胁

对少量 WannaCry 早期攻击事件的发现,提供了该勒索软件与 Lazarus 团伙有所关联的强力证据。这些早期攻击明显使用了先前与 Lazarus 相关的工具、代码和基础设施,而且通过后门程序和盗取认证信息进行传播的方式也与 Lazarus 先前的攻击相一致。“永恒之蓝”利用工具的泄漏使网络攻击者能够将 WannaCry 变得更为强大,远远比该勒索软件在依赖自有工具时强大得多。这是因为网络攻击者借此能够绕过很多之前必须执行的步骤,无需再盗取认证信息并在计算机之间互相复制粘贴。

发表评论: