WannaCry：勒索軟件攻擊事件與Lazarus團伙有緊密關聯

代碼和基礎設施中的類似之處代表：最近的勒索軟件攻擊事件與攻擊索尼影業公司和孟加拉銀行的網絡犯罪團伙緊密相關

勒索軟件WannaCry攻擊事件中使用的工具和基礎設施與Lazarus有着緊密聯繫。該團伙曾對索尼影業公司進行摧毀性攻擊，還曾從孟加拉央行盜取8100萬美圓。

在5月12日WannaCry全球性爆發前，其早期版本(Ransom.Wannacry) 曾在二月、三月和四月份用以執行少許目標性攻擊。早期版本的WannaCry和2017年5月的版本基本相同，只是傳播方式有所差異。賽門鐵克安全響應團隊對WannaCry早期攻擊進行了分析，發現網絡攻擊者所使用的工具、技術和基礎設施與以前Lazarus攻擊時間中所見到的有大量共同點，這說明Lazarus極有可能就是傳播WannaCry的幕後黑手。儘管與Lazarus有關聯，但WannaCry攻擊事件並不具備民族或國家所資助活動的特色，更像是典型的網絡犯罪活動。這些早期版本的WannaCry使用盜取的認證信息在網絡中傳播，而不是利用泄露的「永恆之藍」利用工具。「永恆之藍」致使WannaCry於5月12日期快速在全球範圍擴散。

關係總結

• 在WannaCry於二月份的首次攻擊以後，咱們在受害者網絡上發現了與Lazarus有關惡意軟件的三個組成部分：Trojan.Volgmer和Backdoor.Destover的兩個變體，後者是索尼影業公司攻擊事件中所使用的磁盤數據清除工具。
• Trojan.Alphanc用以在三月和四月份中傳播WannaCry，該病毒是Backdoor.Duuzer的修正版，而Backdoor.Duuzer以前與Lazarus有所關聯。
• Trojan.Bravonc與Backdoor.Duuzer和Backdoor.Destover使用相同的IP地址以進行命令和控制，然後二者均與Lazarus有所關聯。
• Backdoor.Bravonc的代碼混淆方法和WannaCry與Infostealer.Fakepude（與Lazarus有所關聯）類似。
• 並且，WannaCry和以前與Lazarus相關的 Backdoor.Contopee之間存在共享代碼。

二月份的攻擊

2017年2月10日，賽門鐵克發現了WannaCry在網絡中做亂的首個證據，當時有一家機構受到了感染。在首次感染的兩分鐘內，機構中的100多臺計算機便遭到了感染。

網絡攻擊者在受害者網絡上留下了幾個工具，從而提供了WannaCry傳播方式的確鑿證據。咱們在一臺受影響的計算機上發現了兩個文件，即mks.exe和hptasks.exe（參見附錄C：感染指標）。mks.exe這個文件是Mimikatz(Hacktool.Mimikatz)的一個變體，而Mimikatz則是普遍用於目標性攻擊中的密碼轉儲工具。第二個文件hptasks.exe用以使用mks.exe盜取的密碼，在其餘網絡計算機上覆制和執行WannaCry。

WannaCry經過hptasks.exe傳播有兩個階段的過程。在第一階段，hptasks運行後可傳遞一個IP地址的目標清單，將其做爲一個參數。在給出這條命令時，hptasks將在一個名爲「cg.wry」的文件中讀取以前盜取的認證信息，並用其鏈接IP地址範圍組內的全部計算機。全部鏈接嘗試均記錄於log.dat文件。若是成功鏈接遠程計算機，則Admin$或C$\Windows這兩個文件夾中將不存在帶有.res後綴名的文件，以後hptasks.exe將把表2中列出的文件複製在遠程計算機之上。

文件名稱	遠程位置	類型
cg.wry	\\%s\Admin$\, \\%s\C$\Windows\ where %s the remote system	配置細節
r2.wry	\\%s\Admin$\, \\%s\C$\Windows\ where %s the remote system	告知用戶支付方式的信息
t1.wry	\\%s\Admin$\, \\%s\C$\Windows\ where %s the remote system	用戶通知信息，好比「您的大多數文件已加密……」
taskmsgr.exe	\\%s\Admin$\, \\%s\C$\Windows\ where %s the remote system	在t1.wry和t2.wry中顯示消息的應用程序
taskschs.exe	\\%s\Admin$\, \\%s\C$\Windows\ where %s the remote system	WannaCry加密應用程序

表1.hptasks.exe複製到目標計算機上的文件

在hptasks.exe在遠程計算機上執行WannaCry以後，第二階段開始。hptasks可將多個參數傳遞到遠程計算機上的WannaCry安裝程序，包括一個組新的IP地址。若是WannaCry做爲參數與這些IP地址一塊兒運行，則不能加密本地計算機上的文件。然而，WannaCry可與傳遞的IP地址相連，使用文件c.wry資源段中嵌入的認證信息，訪問這些計算機上的Admin$和C$分享文件，以後遠程對這些文件進行加密。

除hptasks.exe和mks.exe外，咱們在受害者網絡的第二臺計算機上發現了惡意軟件的另外五個組成部分。這五個工具由三個與Lazarus有關。有兩個是索尼影業公司攻擊事件中所用工具Destover (Backdoor.Destover)的變體。第三個是Trojan.Volgmer，Lazarus以前曾用此惡意軟件攻擊南韓的目標。

三月和四月份的攻擊

自3月27日起，至少有五家機構遭到了新版WannaCry的感染。這些攻擊事件彷佛沒有什麼固定模式，受攻擊的機構涉及各個行業，地理位置也各類各樣。然而，這些攻擊事件揭示了WannaCry和Lazarus背後之間關係的其餘證據。

爲了部署WannaCry，這些攻擊使用了兩種不一樣的後門程序：Trojan.Alphanc和Trojan.Bravonc。Alphanc用以將WannaCry放置於至少屬於兩名已知受害者的計算機之上，將略微調整的惡意軟件部署至全部受害者的計算機上。

Alphanc的大量代碼與Backdoor.Duuzer相同，然後者是索尼影業攻擊事件中所用數據清除工具Destover的子類（參見附錄B：共享代碼）。事實上，賽門鐵克研究人員認爲Alphanc就是Duuzer的演變程序。Duuzer以前與Backdoor.Joanap和Trojan.Volgmer的活動也有所聯繫，然後二者先前均與Lazarus有關聯。

賽門鐵克研究人員可以建立Alphanc在受害者系統上活動的詳細時間表，從該病毒登陸系統開始到WannaCry部署完畢爲止。

Alphanc活動時間表

Alphanc做爲armsvc.exe部署至目標計算機之上，並在幾分鐘後自行復制，並使用新文件名javaupdate.exe。樣本從如下位置開始執行：

cmd.exe /c "copy c:\Users\Administrator\AppData\armsvc.exe c:\windows\system32\javaupdate.exe > C:\Users\REDACTED\AppData\Local\Temp\NK15DA.tmp" 2>&1

幾分鐘後，系統將建立並執行認證信息轉儲器mks.exe（與二月份WannaCry使用的認證信息轉儲器相同）。以後三天沒有任何活動，隨後網絡攻擊者送回並部署RAR版本並建立密碼保護文檔。片刻以後，一個名爲「g.exe」的網絡掃描程序開始運行。該程序對網絡攻擊者所選擇IP地址範圍中的全部IP地址進行域名解析，極可能是爲了肯定其感興趣的計算機。在網絡攻擊者將配置文件送回本地網絡前，活動會有一個兩天的間隔。所用命令示例包括：

cmd.exe /c "net view > C:\Users\REDACTED\AppData\Local\Temp\NK2301.tmp" 2>&1
cmd.exe /c "net view /domain > C:\Users\REDACTED\AppData\Local\Temp\NK6C42.tmp" 2>&1
cmd.exe /c "time /t > C:\Users\REDACTED\AppData\Local\Temp\NKC74F.tmp" 2>&1

以後，javaupdate.exe建立文件taskhcst.exec。這即是勒索軟件WannaCry。.exec後綴名從新改名爲.exe，以下所示。這極可能是一個安全檢查，使網絡攻擊者不會錯誤地過早執行此文件。

cmd.exe /c "ren C:\Windows\taskhcst.exec taskhcst.exe > C:\Users\REDACTED\AppData\Local\Temp\NK833D.tmp" 2>&1

將近45分鐘以後，網絡攻擊者將後門程序javaupdate.exe複製至遠程計算機之上。以後，網絡攻擊者還在此計算機粘貼了一個名爲「bcremote.exe」的文件；該文件和二月份攻擊中名爲hptasks.exe的工具相同，用以在網絡上傳播WannaCry。WannaCry隨後複製此文件的配置文件，並最終進行自我複製：

cmd.exe /c "net use \\REDACTED\ipc$ REDACTED /u:REDACTED > C:\Users\REDACTED\AppData\Local\Temp\NK2E.tmp" 2>&1
cmd.exe /c "copy c:\windows\system32\javaupdate.exe \\REDACTED\c$\windows\javaupdate.exe > C:\Users\REDACTEDAppData\Local\Temp\NK3E49.tmp" 2>&1
cmd.exe /c "copy c:\windows\beremote.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK4DD5.tmp" 2>&1
cmd.exe /c "copy c:\windows\c.wry \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7228.tmp" 2>&1
cmd.exe /c "copy c:\windows\taskh*.exe \\REDACTED\c$\windows\ > C:\Users\REDACTED\AppData\Local\Temp\NK7DCF.tmp" 2>&1

相同程序還會在網絡上的第二臺服務器上進行，執行bcremote.exe命令後，WannaCry便在整個網絡中開始傳播。

Trojan.Bravonc

有關Trojan.Bravonc的運行信息不多，該程序用以將WannaCry放於至少兩名其餘受害者的計算機之上，代表其與Lazarus團伙有着至關明確的關聯。

該程序鏈接IP地址87.101.243.252上的命令和控制(C&C)服務器，該IP地址與Destover（Lazrus的一款知名工具）示例中使用的IP地址相同。Blue Coat在《從首爾到索尼報告》中也說起了此IP地址。

咱們還發現Duuzer用此IP地址做爲C&C服務器。Bravonc和Destover的一個變體還共享密碼相關代碼（參見附錄B：共享代碼）。此外，Bravonc的傳播方式（在SMB上使用硬編碼認證信息）與Lazarus相關的另外一個工具Joanap使用了相同的技術。

五月份攻擊：WannaCry開始在全球範圍內傳播

5月12日，整合已泄露「永恆之藍」利用工具的新版WannaCry發佈了，「永恆之藍」可以使用Windows中的兩個已知漏洞（CVE-2017-0144和CVE-2017-0145）將勒索軟件傳播至受害者網絡中未安裝補丁的計算機之上，也可將其傳播至與互聯網鏈接的其餘安全防範薄弱的計算機之上。

整合「永恆之藍」以後，WannaCry從僅能在受限數量目標性攻擊中使用的危險工具轉變成一個近年來最爲惡性的惡意軟件。這種惡意軟件形成了大範圍破壞，不少機構受到感染，還有一些機構被迫對計算機進行離線軟件升級。MalwareTech的一篇網絡安全博文介紹了對該惡意軟件殺手鐗的發現和觸發原理，從而制限制了它的傳播和危害。

早期版本的WannaCry和5月12日攻擊中所使用的在很大程度上是相同的，但也有一些小更改，主要是後者對「永恆之藍」利用工具進行了整合。用以加密Zip文件的密碼嵌入於WannaCry 釋放器之中，與其餘兩個版本類似（「wcry@123」、「wcry@2016」和 「WNcry@2ol7」），說明這兩個版本軟件的做者可能來自同一個團伙。

第一個版本的WannaCry使用了少許的比特幣客戶端，並且傳播性不廣，這說明其不是衆多網絡犯罪團伙所共享的工具。同時也進一步證實了兩個版本的WannaCry都由一個團伙所操做。

WannaCry與Lazarus相關聯

除了WannaCry傳播工具的相同性以外，WannaCry自己和Lazarus團伙還有着不少關聯。該勒索軟件與惡意軟件Backdoor.Contopee共享了一些代碼，然後者先前與Lazarus有所關聯。Contopee的一個變體使用了自定義SSL工具， 其加密套件與WannaCry所用的相同。在這兩個例子中，加密套件均使用了相同組的密碼，共75個不一樣密碼可供選擇（與擁有300多個密碼的OpenSSL不一樣）。

此外，WannaCry的代碼混淆方法與Infostealer.Fakepude相似，然後者先前與Lazarus有所關聯；並且，三月和四月份用以傳播WannaCry的惡意軟件Trojan.Alphanc也與Lazarus 有所關聯（請參見上文）。

偶然泄漏使WannaCry變成了全球性威脅

對少許WannaCry早期攻擊事件的發現，提供了該勒索軟件與Lazarus團伙有所關聯的強力證據。這些早期攻擊明顯使用了先前與Lazarus 相關的工具、代碼和基礎設施，並且經過後門程序和盜取認證信息進行傳播的方式也與Lazarus先前的攻擊相一致。「永恆之藍」利用工具的泄漏使網絡攻擊者可以將WannaCry變得更爲強大，遠遠比該勒索軟件在依賴自有工具時強大得多。這是由於網絡攻擊者藉此可以繞過不少以前必須執行的步驟，無需再盜取認證信息並在計算機之間互相複製粘貼。

附錄A：WannaCry和Lazarus共享網絡基礎設施

WannaCry 活動中使用的C&C服務器和Lazarus其餘已知工具所用的C&C服務器有不少交集。好比，在索尼影業公司攻擊事件中，網絡攻擊者使用了名爲「Backdoor.Destover」的一類惡意軟件。咱們發現Backdoor.Destover的最新變體使用了IP地址87.101.243.252以進行命令和控制。所發現的釋放WannaCry的Trojan.Bravonc樣本也與此IP地址有所關聯。其餘共享的網絡基礎設施在下面列出：

C&C	使用者	註釋
87.101.243.252	Trojan.Bravonc,   Backdoor.Duuzer Backdoor.Destover
84.92.36.96	Trojan.Alphanc	也由一個後門程序使用，該程序與Lazarus相關的Backdoor.Cuprox共享另外一個C&C
184.74.243.67	Trojan.Alphanc	也由entaskloader.exe使用，該程序在三月份的攻擊中釋放網絡掃描工具
203.69.210.247	Trojan.Alphanc
196.45.177.52	Backdoor.Cuprox	也由一個後門程序使用，該程序經過一個名爲「discussion_QuadrigaCX.doc」的文檔釋放

表2.WannaCry和其餘Lazarus工具共享的基礎設施

附錄B：共享代碼

Trojan.Alphanc和Backdoor.Duuzer之間的共享網絡代碼

Trojan.Alphanc和Backdoor.Duuzer使用相似的代碼以生成緩衝區，並在鏈接C&C服務器後將其發出。該代碼是可稱爲「虛假SSL」握手程序的一部分。從概念上講，該代碼與谷歌所識別的代碼類似，但在執行上有所差異。這兩個樣本均能生成隨機數，並使用此數字查找發送額外數據的表格。這兩個樣本中的表格徹底相同。此外，這兩個樣本均再發送至C&C服務器的緩衝區開端前置了相同的數值 0x16030100。

圖1.Backdoor.Duuzer樣本，哈希值爲fa6ee9e969df5ca4524daa77c172a1a7

圖2.Backdoor Alphanc樣本，哈希值爲E8C6ACC1EB7256DB728C0F3FED5D23D7

Trojan.Alphanc和Backdoor.Duuzer之間的共用字符串

下圖展現了Trojan.Alphanc和Backdoor.Duuzer之間的共用字符串。

圖3.Trojan.Alphanc和Backdoor.Duuzer之間的共用字符串

Backdoor.Bravonc和Backdoor.Destover之間的加密數字相關例程

圖4.Trojan.Bravonc樣本，哈希值爲55dd9b0af2a263d215cb4fd48f16231a

圖5.Destover變體，哈希值爲0f246a13178841f8b324ca54696f592b

Neel Mehta所識別的共享函數

5月15日，谷歌研究人員Neel Mehta在推特上發佈瞭如下內容：

首個哈希值9c7c7149387a1c79679a87dd1ba755bc是Ransom.WannaCry，ac21c8ad8997271b94458d7aa8d8是Backdoor.Contopee（多家銀行受攻擊事件中所使用的後門程序）變體。該推文中所說起的樣本含有共享代碼。這種共享代碼是自定義SSL工具的一部分，使用了相同的加密套件。也可將其描述爲「虛假ssl」。每一個密碼指定一個對密鑰交換、認證、批量加密和MAC的選擇。Contopee樣本和Wannacry 樣本具備幾乎相同的代碼段，並且這些代碼段採用徹底相同的加密套件。在這兩個例子中，加密套件均使用了相同密碼，共75個不一樣密碼可供選擇（與擁有300多個密碼的OpenSSL不一樣）。

附錄C：感染指標