WannaCry惊天大发现!疑似朝鲜黑客组织Lazarus所为

2017-05-16 242045人围观 ,发现 17 个不明物体 系统安全

编号: TB-2017-0007

报告置信度:65

TAG:勒索软件 WannaCry Lazarus朝鲜 蠕虫秘密开关域名

TLP: 白(报告转发及使用不受限制)

日期: 2017-05-16

摘要

今日凌晨,Google、卡巴斯基和赛门铁克等公司安全研究者[1]相继发布消息称,5月12日爆发的WannaCry勒索蠕虫与朝鲜黑客组织Lazarus存在联系,微步在线分析师迅速对相关样本进行了同源性分析,发现二者确实具备较高相似度,出自同一组织的可能性较大。

其他发现还有:

微步在线长期跟踪朝鲜Lazarus团伙,曾先后发布包括《APT攻击团伙对SWIFT系统发起定向攻击》、《朝鲜黑客组织对多国银行发起定向攻击》在内的多个报告,披露朝鲜黑客组织Lazarus对孟加拉、印尼、越南等多个国家银行的攻击细节。

此次攻击目的表面为经济利益,但对于发起攻击日期的选择尚存疑。

最新捕获的WannaCry蠕虫出现第三个kill switch秘密开关。

具体域名见下文

微步在线的威胁情报平台已支持相关攻击的检测。已部署的客户可查看报警迅速锁定失陷主机,减少损失。如需微步在线协助,可与客户经理联系或通过contactus@threatbook.cn与我们联系。

事件概要

攻击目标 所有存在MS17-010漏洞主机
时间跨度 2017年5月12日至今
攻击复杂度 中。丰富的编程经验和基础资源
后勤资源 丰富的基础资源及开发能力
攻击向量 高危漏洞
风险承受力
最终目标 未知(加密敏感数据,勒索赎金?)

详情

Lazarus组织是谁?

Lazarus组织自 2009 年被首次发现,近年来频繁针对全球范围内的金融业发起攻击,目标范围包括菲律宾、越南、孟加拉等东南亚国家以及波兰等欧洲国家,其攻击手段十分隐蔽,攻击工具高度定制化,攻击目的非常明确,即盗取银行的资金,危害性极大。调查认为,该组织由朝鲜政府支持。

WannaCry与Lazurus组织的联系?

通过对本次爆发的WannaCry勒索蠕虫分析发现,该恶意软件早在今年2月就已经在互联网出现,只是当时的版本不具备利用MS17-010漏洞进行大范围传播的功能,因此未引起关注。Google研究者Neel Mehta今日在Twitter率先发布消息称,早期的WannaCry样本与Lazarus团伙使用的一款后门程序Contopee存在较高相似度.稍后卡巴斯基和赛门铁克研究者基于此发布了更多分析结果。

2.jpg

微步在线对相关样本比对发现,两者确实使用了同样一段加密函数相似度超过99%。相似代码片段如下图所示:

3.png

上图左侧为今年2月出现的WannaCry早期样本,右侧为20152月Lazarus组织使用的Contopee样本。两者在微步在线的威胁分析平台截图如下:

4.png

https://x.threatbook.cn/report/3e6de9e2baacf930949647c399818e7a2caea2626df6a468407854aaa515eed9

5.png

https://x.threatbook.cn/report/766d7d591b9ec1204518723a1e5940fd6ac777f606ed64e731fd91b0b4c3d9fc

而在近日出现的WannaCry样本则没有找到这段相似代码,应该已被作者删除。

如果是Lazarus团伙,他们的目的是什么?

Lazarus团伙作为朝鲜“国家队”,此次攻击表面是为了勒索资金,但选择在5月12日发起攻击,或许存在更加重要的政治目的。

此外,朝鲜官方twitter曾在WannaCry发起攻击前一天,发表twitter称:“有报道称 ,朝鲜是美国第一大威胁源,排在网络之前。”

6.png

正如卡巴斯基研究团队所指出:目前需要的更多全球安全研究者共同对WannaCry蠕虫进行深入分析,以最终确定攻击者身份和来源。在孟加拉央行攻击事件早期,没有太多证据指向朝鲜Lazarus团伙,但随着全球安全研究者分析的不断深入,最终发现了大量朝鲜相关证据。

如果WannaCry蠕虫真的出自Lazarus团伙之手,这将是全球第一起国家级的勒索软件攻击事件。

有没有可能是误判?

完全有可能。同样的代码片段和技巧可能会被不同的病毒编写者采用。但从目前全球各国安全研究者的分析来看,Lazarus团伙嫌疑较大。微步在线正在进行深入分析,同时也将持续关注全球安全同行的分析进展,进行综合研判。

WannaCry还在更新吗?

最新捕获的存在第三个“开关域名”WannaCry样本,开关地址如下:

www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com(207.154.243.152

该域名同样已被安全研究者注册,因此该变种的传播也会被有效遏制。但仍建议客户及时修改此开关域名的解析地址,防止内网机器无法访问引发后续加密攻击。

还有更多秘密开关吗?

我们关注到国外安全厂商Zscaler在博客中提到第四个秘密开关域名,但稍后删除了该博客。该开关域名已被注册,但微步在线尚未发现有传播中的蠕虫样本使用此开关域名。我们会保持持续监控。

www.iuqerssodp9ifjaposdfjhgosurijfaewrwergwea[.]com

与第一个开关相差一个字母。

附录

变种蠕虫开关域名

www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com(秘密开关域名,请勿拦截)

207.154.243.152

变种蠕虫hash

062334a986407eef80056f553306ebfd8bb0916320dd271c24e6a2d51f177feb

b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06


[1] https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link

https://blog.comae.io/wannacry-links-to-lazarus-group-dcea72c99d2d

这些评论亮了

  • eval0day (4级) FB特约首席安全顾问 回复
    )26( 亮了
  • 这篇文章就感觉首发是美国国家队
    )14( 亮了
  • 六翼 (1级) 回复
    这不会是美国甩给朝鲜的锅吧?这样美国就有理由宣称“朝鲜威胁论”了,美国佬不是干过很多次这样的事了。
    )10( 亮了
  • xkk5596 (1级) 个人描述是多余的 回复
    报告置信度65 说明可信度不是很高。
    看看这条新闻吧
    Researchers find evidence that could link WannaCry cyberattack to North Korea
    http://globalnews.ca/news/3454273/wannacry-north-korea/
    文中提到说“Both Symantec and Kaspersky said it was too early to tell whether North Korea was involved in the attacks, based on the evidence that was published on Twitter by Google security researcher Neel Mehta. ”
    Fireeye的工程师John Miller也说,““The similarities we see between malware linked to that group and WannaCry are not unique enough to be strongly suggestive of a common operator,”
    一切尚无定论,而原文的题目竟然直接使用了“links to”这样的词汇,已经自己给事情下结论了。
    你们转载的时候也麻烦注意一下新闻真实性好吗?就像是之前被盛传的“大部分教育网已经中了勒索软件”后来被澎湃新闻证实为某安全厂商散布的谣言一样。
    你们啊,不要想喜欢弄个大新闻,说朝鲜已经确定了,再把朝鲜批判一番。你们这样子是不行的!我今天算是得罪了你们一下。
    )9( 亮了
发表评论

已有 17 条评论

取消
Loading...

特别推荐

关注我们 分享每日精选文章

css.php