賽門鐵克稱 WannaCry 與駭客組織 Lazarus 有關，但沒提朝鮮

分類＼手機
時間＼2017-05-24

雷鋒網消息，5月23日，雷鋒網收到賽門鐵克公司發來的一則消息，

稱勒索軟體 WannaCry 攻擊事件中使用的工具和基礎設施與 Lazarus 有著緊密聯繫。

該團夥曾對索尼影業公司進行摧毀性攻擊，還曾從孟加拉央行盜取8100萬美元。

雷鋒網瞭解到，此前，網傳 Lazarus 幕後有朝鮮的支持，是一“朝鮮駭客組織”，但是，賽門鐵克稱，

WannaCry 攻擊事件並不具有民族或國家所資助活動的特點，更像是典型的網路犯罪活動。

以下是賽門鐵克對此的具體分析報告：

在5月12日WannaCry全球性爆發前，其早期版本(Ransom.Wannacry) 曾在二月、三月和四月份用以執行少量目標性攻擊。早期版本的WannaCry和2017年5月的版本基本相同，只是傳播方式有所差別。賽門鐵克安全回應團隊對WannaCry早期攻擊進行了分析，發現網路攻擊者所使用的工具、技術和基礎設施與之前Lazarus攻擊時間中所見到的有大量共同點，這說明Lazarus極有可能就是傳播WannaCry的幕後黑手。儘管與Lazarus有關聯，但WannaCry攻擊事件並不具有民族或國家所資助活動的特點，更像是典型的網路犯罪活動。這些早期版本的WannaCry使用盜取的認證資訊在網路中傳播，而不是利用洩露的 “永恆之藍” 利用工具。“永恆之藍”導致WannaCry於5月12日期快速在全球範圍擴散。

關係總結

在WannaCry於二月份的首次攻擊之後，我們在受害者網路上發現了與Lazarus有關惡意軟體的三個組成部分：Trojan.Volgmer和Backdoor.Destover的兩個變體，後者是索尼影業公司攻擊事件中所使用的磁片資料清除工具。

Trojan.Alphanc用以在三月和四月份中傳播WannaCry，該病毒是Backdoor.Duuzer的修正版，而Backdoor.Duuzer之前與Lazarus有所關聯。

Trojan.Bravonc與Backdoor.Duuzer和Backdoor.Destover使用相同的IP位址以進行命令和控制，而後兩者均與Lazarus有所關聯。

Backdoor.Bravonc的代碼混淆方法和WannaCry與Infostealer.Fakepude（與Lazarus有所關聯）相似。

而且，WannaCry和之前與Lazarus相關的 Backdoor.Contopee之間存在共用代碼。

二月份的攻擊

2017年2月10日，賽門鐵克發現了WannaCry在網路中作亂的首個證據，當時有一家機構受到了感染。在首次感染的兩分鐘內，機構中的100多台電腦便遭到了感染。

網路攻擊者在受害者網路上留下了幾個工具，從而提供了WannaCry傳播方式的確鑿證據。我們在一台受影響的電腦上發現了兩個檔，即mks.exe和hptasks.exe（參見附錄C：感染指標）。mks.exe這個檔是Mimikatz(Hacktool.Mimikatz)的一個變體，而Mimikatz則是廣泛用於目標性攻擊中的密碼轉儲工具。第二個檔hptasks.exe用以使用mks.exe盜取的密碼，在其他網路電腦上複製和執行WannaCry。

WannaCry通過hptasks.exe傳播有兩個階段的過程。在第一階段，hptasks運行後可傳遞一個IP位址的目標清單，將其作為一個參數。在給出這條命令時，hptasks將在一個名為“cg.wry”的檔中讀取之前盜取的認證資訊，並用其連接IP位址範圍組內的所有電腦。所有連接嘗試均記錄於log.dat文件。如果成功連接遠端電腦，則Admin$或C$\Windows這兩個資料夾中將不存在帶有.res尾碼名的檔，之後hptasks.exe將把表2中列出的檔複製在遠端電腦之上。

在hptasks.exe在遠端電腦上執行WannaCry之後，第二階段開始。hptasks可將多個參數傳遞到遠端電腦上的WannaCry安裝程式，包括一個組新的IP位址。如果WannaCry作為參數與這些IP位址一起運行，則不能加密本地電腦上的檔。然而，WannaCry可與傳遞的IP位址相連，使用檔c.wry資源段中嵌入的認證資訊，訪問這些電腦上的Admin$和C$分享檔，之後遠端對這些檔進行加密。

除hptasks.exe和mks.exe外，我們在受害者網路的第二台電腦上發現了惡意軟體的另外五個組成部分。這五個工具由三個與Lazarus有關。有兩個是索尼影業公司攻擊事件中所用工具Destover (Backdoor.Destover)的變體。第三個是Trojan.Volgmer，Lazarus之前曾用此惡意軟體攻擊南韓的目標。

三月和四月份的攻擊

自3月27日起，至少有五家機構遭到了新版WannaCry的感染。這些攻擊事件似乎沒有什麼固定模式，受攻擊的機構涉及各個行業，地理位置也各種各樣。然而，這些攻擊事件揭示了WannaCry和Lazarus背後之間關係的其他證據。

為了部署WannaCry，這些攻擊使用了兩種不同的後門程式：Trojan.Alphanc和Trojan.Bravonc。Alphanc用以將WannaCry放置於至少屬於兩名已知受害者的電腦之上，將略微調整的惡意軟體部署至所有受害者的電腦上。

Alphanc的大量代碼與Backdoor.Duuzer相同，而後者是索尼影業攻擊事件中所用資料清除工具Destover的子類（參見附錄B：共用代碼）。事實上，賽門鐵克研究人員認為Alphanc就是Duuzer的演變程式。Duuzer之前與Backdoor.Joanap和Trojan.Volgmer的活動也有所聯繫，而後兩者先前均與Lazarus有關聯。

賽門鐵克研究人員能夠創建Alphanc在受害者系統上活動的詳細時間表，從該病毒登錄系統開始到WannaCry部署完畢為止。

Alphanc活動時間表

Alphanc作為armsvc.exe部署至目的電腦之上，並在幾分鐘後自行複製，並使用新檔案名javaupdate.exe。樣本從以下位置開始執行：

cmd.exe /c "copy c:\Users\Administrator\AppData\armsvc.exe

c:\windows\system32\javaupdate.exe >

C:\Users\REDACTED\AppData\Local\Temp\NK15DA.tmp" 2>&1

幾分鐘後，系統將創建並執行認證資訊轉儲器mks.exe（與二月份WannaCry使用的認證資訊轉儲器相同）。之後三天沒有任何活動，隨後網路攻擊者送回並部署RAR版本並創建密碼保護文檔。片刻之後，一個名為“g.exe”的網路掃描程式開始運行。該程式對網路攻擊者所選擇IP位址範圍中的所有IP位址進行功能變數名稱解析，很可能是為了確定其感興趣的電腦。在網路攻擊者將設定檔送回本地網路前，活動會有一個兩天的間隔。所用命令示例包括：

cmd.exe /c "net view > C:\Users\REDACTED\AppData\Local\Temp\NK2301.tmp" 2>&1

cmd.exe /c "net view /domain > C:\Users\REDACTED\AppData\Local\Temp\NK6C42.tmp" 2>&1

cmd.exe /c "time /t > C:\Users\REDACTED\AppData\Local\Temp\NKC74F.tmp" 2>&1

之後，javaupdate.exe創建文件taskhcst.exec。這便是勒索軟體WannaCry。.exec尾碼名重新更名為.exe，如下所示。這很可能是一個安全檢查，使網路攻擊者不會錯誤地過早執行此檔。

cmd.exe /c "ren C:\Windows\taskhcst.exec taskhcst.exe >

C:\Users\REDACTED\AppData\Local\Temp\NK833D.tmp" 2>&1

將近45分鐘之後，網路攻擊者將後門程式javaupdate.exe複製至遠端電腦之上。之後，網路攻擊者還在此電腦粘貼了一個名為“bcremote.exe”的文件；該文件和二月份攻擊中名為hptasks.exe的工具相同，用以在網路上傳播WannaCry。WannaCry隨後複製此檔的設定檔，並最終進行自我複製：

cmd.exe /c "net use \\REDACTED\ipc$ REDACTED /u:REDACTED > C:\Users\REDACTED\AppData\Local\Temp\NK2E.tmp" 2>&1

cmd.exe /c "copy c:\windows\system32\javaupdate.exe \\REDACTED\c$\windows\javaupdate.exe > C:\Users\REDACTEDAppData\Local\Temp\NK3E49.tmp" 2>&1

cmd.exe /c "copy c:\windows\beremote.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK4DD5.tmp" 2>&1

cmd.exe /c "copy c:\windows\c.wry \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7228.tmp" 2>&1

cmd.exe /c "copy c:\windows\taskh*.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7DCF.tmp" 2>&1

相同程式還會在網路上的第二台伺服器上進行，執行bcremote.exe命令後，WannaCry便在整個網路中開始傳播。

Trojan.Bravonc

有關Trojan.Bravonc的運行資訊很少，該程式用以將WannaCry放於至少兩名其他受害者的電腦之上，表明其與Lazarus團夥有著相當明確的關聯。

該程式連接IP位址87.101.243.252上的命令和控制(C&C)伺服器，該IP位址與Destover（Lazrus的一款知名工具）示例中使用的IP位址相同。Blue Coat在《從首爾到索尼報告》中也提及了此IP地址。

我們還發現Duuzer用此IP地址作為C&C伺服器。Bravonc和Destover的一個變體還共用密碼相關代碼（參見附錄B：共用代碼）。此外，Bravonc的傳播方式（在SMB上使用硬編碼認證資訊）與Lazarus相關的另一個工具Joanap使用了相同的技術。

五月份攻擊：WannaCry開始在全球範圍內傳播

5月12日，整合已洩露“永恆之藍”利用工具的新版WannaCry發佈了，“永恆之藍”可使用Windows中的兩個已知漏洞（CVE-2017-0144和CVE-2017-0145）將勒索軟體傳播至受害者網路中未安裝補丁的電腦之上，也可將其傳播至與互聯網連接的其他安全防範薄弱的電腦之上。

整合“永恆之藍”之後，WannaCry從僅能在受限數量目標性攻擊中使用的危險工具轉變成一個近年來最為惡性的惡意軟體。這種惡意軟體造成了大範圍破壞，很多機構受到感染，還有一些機構被迫對電腦進行離線軟體升級。MalwareTech的一篇網路安全博文介紹了對該惡意軟體殺手鐧的發現和觸發原理，從而制限制了它的傳播和危害。

早期版本的WannaCry和5月12日攻擊中所使用的在很大程度上是相同的，但也有一些小更改，主要是後者對“永恆之藍”利用工具進行了整合。用以加密Zip檔的密碼嵌入於WannaCry 釋放器之中，與其他兩個版本相似（“wcry@123”、“wcry@2016”和 “WNcry@2ol7”），說明這兩個版本軟體的作者可能來自同一個團夥。

第一個版本的WannaCry使用了少量的比特幣用戶端，而且傳播性不廣，這說明其不是眾多網路犯罪團夥所共用的工具。同時也進一步證明了兩個版本的WannaCry都由一個團夥所操作。

WannaCry與Lazarus相關聯

除了WannaCry傳播工具的相同性之外，WannaCry本身和Lazarus團夥還有著很多關聯。該勒索軟體與惡意軟體Backdoor.Contopee共用了一些代碼，而後者先前與Lazarus有所關聯。Contopee的一個變體使用了自訂SSL工具，其加密套件與WannaCry所用的相同。在這兩個例子中，加密套件均使用了相同組的密碼，共75個不同密碼可供選擇（與擁有300多個密碼的OpenSSL不同）。

此外，WannaCry的代碼混淆方法與Infostealer.Fakepude類似，而後者先前與Lazarus有所關聯；而且，三月和四月份用以傳播WannaCry的惡意軟體Trojan.Alphanc也與Lazarus 有所關聯（請參見上文）。

偶然洩漏使WannaCry變成了全球性威脅

對少量WannaCry早期攻擊事件的發現，提供了該勒索軟體與Lazarus團夥有所關聯的強力證據。這些早期攻擊明顯使用了先前與Lazarus 相關的工具、代碼和基礎設施，而且通過後門程式和盜取認證資訊進行傳播的方式也與Lazarus先前的攻擊相一致。“永恆之藍”利用工具的洩漏使網路攻擊者能夠將WannaCry變得更為強大，遠遠比該勒索軟體在依賴自有工具時強大得多。這是因為網路攻擊者借此能夠繞過很多之前必須執行的步驟，無需再盜取認證資訊並在電腦之間互相複製粘貼。