[轉帖]WannaCry驚天大發現！疑似朝鮮黑客組織Lazarus所爲

WannaCry驚天大發現！疑似朝鮮黑客組織Lazarus所爲

Threatbook2017-05-16共588524人圍觀 ，發現 17 個不明物體系統安全

https://www.freebuf.com/articles/system/134846.html

聽說 朝鮮也在攻擊印度的核設施. 

編號: TB-2017-0007

報告置信度:65

TAG:勒索軟件 WannaCry Lazarus朝鮮 蠕蟲祕密開關域名

TLP: 白(報告轉發及使用不受限制)

日期: 2017-05-16

摘要

今日凌晨，Google、卡巴斯基和賽門鐵克等公司安全研究者[1]相繼發佈消息稱，5月12日爆發的WannaCry勒索蠕蟲與朝鮮黑客組織Lazarus存在聯繫，微步在線分析師迅速對相關樣本進行了同源性分析，發現兩者確實具有較高類似度，出自同一組織的可能性較大。

其餘發現還有：

微步在線長期跟蹤朝鮮Lazarus團伙，曾前後發佈包括《APT攻擊團伙對SWIFT系統發起定向攻擊》、《朝鮮黑客組織對多國銀行發起定向攻擊》在內的多個報告，披露朝鮮黑客組織Lazarus對孟加拉、印尼、越南等多個國家銀行的攻擊細節。

這次攻擊目的表面爲經濟利益，但對於發起攻擊日期的選擇尚存疑。

最新捕獲的WannaCry蠕蟲出現第三個kill switch祕密開關。

具體域名見下文

微步在線的威脅情報平臺已支持相關攻擊的檢測。已部署的客戶可查看報警迅速鎖定失陷主機，減小損失。如需微步在線協助，可與客戶經理聯繫或經過contactus@threatbook.cn與咱們聯繫。

事件概要

攻擊目標	全部存在MS17-010漏洞主機
時間跨度	2017年5月12日至今
攻擊複雜度	中。豐富的編程經驗和基礎資源
後勤資源	豐富的基礎資源及開發能力
攻擊向量	高危漏洞
風險承受力	高
最終目標	未知（加密敏感數據，勒索贖金？）

詳情

Lazarus組織是誰？

Lazarus組織自 2009 年被首次發現，近年來頻繁針對全球範圍內的金融業發起攻擊，目標範圍包括菲律賓、越南、孟加拉等東南亞國家以及波蘭等歐洲國家，其攻擊手段十分隱蔽，攻擊工具高度定製化，攻擊目的很是明確，即盜取銀行的資金，危害性極大。調查認爲，該組織由朝鮮政府支持。

WannaCry與Lazurus組織的聯繫？

經過對本次爆發的WannaCry勒索蠕蟲分析發現，該惡意軟件早在今年2月就已經在互聯網出現，只是當時的版本不具有利用MS17-010漏洞進行大範圍傳播的功能，所以未引發關注。Google研究者Neel Mehta今日在Twitter率先發布消息稱，早期的WannaCry樣本與Lazarus團伙使用的一款後門程序Contopee存在較高類似度.稍後卡巴斯基和賽門鐵克研究者基於此發佈了更多分析結果。

 

微步在線對相關樣本比對發現，二者確實使用了一樣一段加密函數類似度超過99%。類似代碼片斷以下圖所示：

 

上圖左側爲今年2月出現的WannaCry早期樣本，右側爲2015年2月Lazarus組織使用的Contopee樣本。二者在微步在線的威脅分析平臺截圖以下：

 

https://x.threatbook.cn/report/3e6de9e2baacf930949647c399818e7a2caea2626df6a468407854aaa515eed9

 

https://x.threatbook.cn/report/766d7d591b9ec1204518723a1e5940fd6ac777f606ed64e731fd91b0b4c3d9fc

而在近日出現的WannaCry樣本則沒有找到這段類似代碼，應該已被做者刪除。

若是是Lazarus團伙，他們的目的是什麼？

Lazarus團伙做爲朝鮮「國家隊」，這次攻擊表面是爲了勒索資金，但選擇在5月12日發起攻擊，或許存在更加劇要的政治目的。

此外，朝鮮官方twitter曾在WannaCry發起攻擊前一天，發表twitter稱：「有報道稱 ，朝鮮是美國第一大威脅源，排在網絡以前。」

 

正如卡巴斯基研究團隊所指出：目前須要的更多全球安全研究者共同對WannaCry蠕蟲進行深刻分析，以最終肯定攻擊者身份和來源。在孟加拉央行攻擊事件早期，沒有太多證據指向朝鮮Lazarus團伙，但隨着全球安全研究者分析的不斷深刻，最終發現了大量朝鮮相關證據。

若是WannaCry蠕蟲真的出自Lazarus團伙之手，這將是全球第一塊兒國家級的勒索軟件攻擊事件。

有沒有多是誤判？

徹底有可能。一樣的代碼片斷和技巧可能會被不一樣的病毒編寫者採用。但從目前全球各國安全研究者的分析來看，Lazarus團伙嫌疑較大。微步在線正在進行深刻分析，同時也將持續關注全球安全同行的分析進展，進行綜合研判。

WannaCry還在更新嗎？

最新捕獲的存在第三個「開關域名」WannaCry樣本，開關地址以下：

www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com（207.154.243.152）

該域名一樣已被安全研究者註冊，所以該變種的傳播也會被有效遏制。但仍建議客戶及時修改此開關域名的解析地址，防止內網機器沒法訪問引起後續加密攻擊。

還有更多祕密開關嗎？

咱們關注到國外安全廠商Zscaler在博客中提到第四個祕密開關域名，但稍後刪除了該博客。該開關域名已被註冊，但微步在線還沒有發現有傳播中的蠕蟲樣本使用此開關域名。咱們會保持持續監控。

www.iuqerssodp9ifjaposdfjhgosurijfaewrwergwea[.]com

與第一個開關相差一個字母。

附錄

變種蠕蟲開關域名

www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com（祕密開關域名，請勿攔截）

207.154.243.152

變種蠕蟲hash

062334a986407eef80056f553306ebfd8bb0916320dd271c24e6a2d51f177feb

b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06

---

[1] https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link

https://blog.comae.io/wannacry-links-to-lazarus-group-dcea72c99d2d