赛门铁克：“高度怀疑”WannaCry的幕后黑手是朝鲜

发布时间:2017-05-26 09:19 作者:nana 来源:安全牛点击:加载中...次

　　赛门铁克称，朝鲜Lazarus黑客组织“极有可能”是全球性WannaCry勒索软件攻击背后黑手。

　　对WannaCry勒索软件攻击所用工具和基础设施的分析显示，该威胁与朝鲜黑客组织Lazarus关系紧密。

　　5月12日的全球大爆发，将全世界的目光都集中到了WannaCry身上，但该威胁其实早在之前就已活跃。至今为止，超过40万台电脑被WannaCry袭击——尽管得益于攻击开始后不久“断路开关”域名即被注册，不是所有被袭电脑都被植入勒索软件。

　　然而，2月出现的首例WannaCry变种，其与Lazarus组织之间的可能纽带，却早已被安全研究人员发现——虽说其间联系可能稍微有点牵强。

　　朝鲜已断然否认涉嫌该勒索软件攻击。

　　Lazarus黑客组织(又名BlueNoroff)并非无名之辈，之前就已犯下多起著名黑客事件，包括2014年震惊全球的索尼影业数据泄露事件，以及2016年从纽约联邦储备银行盗取孟加拉央行账户8100万美元的网络大劫案。最近，卡巴斯基宣称，该组织是对银行最严重的威胁。

　　如今，赛门铁克表示，在感染了WannaCry的计算机上，发现了与该组织相关联的工具。在5月12日的攻击爆发之前，该勒索软件于2、3、4月份陆续被用于一系列小型针对性黑客活动中，而且各变种十分相似，只有传播方式不太一样(最近的版本采用了NSA的永恒之蓝漏洞利用)。

　　赛门铁克宣称，这些攻击在工具、技术和基础设施方面，与之前的Lazarus攻击呈现出大量的共性，让人高度怀疑Lazarus就是WannaCry肆虐的幕后黑手。

　　但除此之外，WannaCry攻击并没有民族国家黑客行动的标志，反而更像是典型的网络犯罪活动。

　　在5月12号的大规模爆发之前，WannaCry使用被盗凭证在被感染网络上传播，并没有使用被泄的永恒之蓝漏洞利用。

　　2月份的初攻击之后，专家在受害者网络中发现了与Lazarus有关的3个恶意软件，包括Volgmer木马和2个Destover后门的变种(索尼影业攻击案中所用的磁盘清除工具)。

　　而且，研究人员还发现，在3月和4月的攻击中，WannaCry使用了Alphanc木马进行投放分发，而该恶意程序是与Lazarus有关的Duuzer后门的一个改良版本。

　　赛门铁克的发现还包括Bravonc后门——与WannaCry和Fakepude信息小偷(Lazarus相关)共享类似代码混淆手段的恶意程序，以及Bravonc木马——所用C2的IP地址与Duuzer和Destover相同，而这两者同样与Lazarus相关。

　　最后，WannaCry勒索软件之前的版本，与Lazarus相关Contopee后门，共享代码。

　　2月的WannaCry攻击只袭击了一家公司，但在初始感染之后，仅仅2分钟之内，就波及了100多台电脑。该攻击还使用了口令转储工具Mimikatz的一个变种，另有一个工具使用被盗口令在其他网络计算机上拷贝并执行WannaCry。

　　除了这些工具，受害者网络中的另一台机器上，安全研究人员还发现了其他5个恶意软件，其中3个与Lazarus有关：Volgmer和Destover的2个变种。

　　3月底，WannaCry新样本浮现，5家公司被感染。这波攻击使用了Alphanc和Bravonc后门，前者被用于释放WannaCry到至少两家受害者的机器上。Alphanc据说是Duuzer的一个进化版——索尼影业攻击所用清除工具Destover的一个亚种。

　　这些攻击的目标公司涵盖多个领域和地区，但赛门铁克在3月和4月被感染的计算机上，找到了2月攻击中所用工具的证据。

　　Bravonc木马被用于向其他至少2家受害公司投放WannaCry。该恶意软件通联的C2服务器IP地址，与Destover和Duuzer样本所用的一致，这在 Blue Coat 去年的报告中也有提及。

　　赛门铁克解释道：“永恒之蓝的引入，将WannaCry从只能用于少量针对性攻击的危险威胁，转化成了近年来最致命的恶意软件之一。它导致了大面积的破坏和中断，不仅仅是被感染的公司，还有那些因为要做软件更新而不得不暂时离线的公司。”

　　赛门铁克还提到，用于加密内嵌到WannaCry释放器中ZIP文件的口令，各版本间也存在相似性(wcry@123、wcry@2016和WNcry@2ol7)，充分表明它们出自同一个黑客团伙。而且，初始版本中使用的少量几个比特币地址，及其有限的传播，也暗示了这不是网络犯罪团伙间共享的勒索软件家族。

　　除了WannaCry传播工具中的共性，WannaCry本身与Lazarus之间也有很多联系。该勒索软件与Lazarus之前用过的Backdoor.Contopee共享了部分代码。Contopee的一个变种采用的自定义SSL实现和加密套件，在WannaCry中也有使用。两个样本中的加密套件都采用了同一套含75个可选密码的方案(OpenSSL的方案是从300多个不同密码中进行选择)。

　　鉴于大量工具、代码和基础设施的使用都与Lazarus相关，赛门铁克断定，早期WannaCry攻击提供了充分的证据证明该勒索软件源自Lazarus。该公司还指出，永恒之蓝漏洞利用的泄露，正是将WannaCry的能力大幅提升的罪魁祸首。

(责任编辑：宋编辑)