赛门铁克称 WannaCry 与黑客组织 Lazarus 有关，但没提朝鲜

雷锋网动静，5月23日，雷锋网收到赛门铁克公司发来的一则动静，称打单软件 WannaCry 进攻变乱中行使的器材和基本办法与 Lazarus 有着细密接洽。该团伙曾对索尼影业公司举办摧毁性进攻，还曾从孟加拉央行偷取8100万美元。

雷锋网相识到，此前，网传 Lazarus 幕后有朝鲜的支持，是一“朝鲜黑客组织”，可是，赛门铁克称，WannaCry 进攻变乱并不具有民族或国度所扶助勾当的特点，更像是典范的收集犯法勾当。

在5月12日WannaCry环球性发作前，其早期版本(Ransom.Wannacry) 曾在二月、三月和四月份用以执行少量方针性进攻。早期版本的WannaCry和2017年5月的版本基内情同，只是撒播方法有所不同。赛门铁克安详相应团队对WannaCry早期进攻举办了说明，发明收集进攻者所行使的器材、技能和基本办法与之前Lazarus进攻时刻中所见到的有大量配合点，这声名Lazarus极有也许就是撒播WannaCry的幕后黑手。尽量与Lazarus有关联，但WannaCry进攻变乱并不具有民族或国度所扶助勾当的特点，更像是典范的收集犯法勾当。这些早期版本的WannaCry行使偷取的认证信息在收集中撒播，而不是操作泄漏的 “永恒之蓝” 操作器材。“永恒之蓝”导致WannaCry于5月12日期快速在环球范畴扩散。

在WannaCry于二月份的初次进攻之后，我们在受害者收集上发明白与Lazarus有关恶意软件的三个构成部门：Trojan.Volgmer和Backdoor.Destover的两个变体，后者是索尼影业公司进攻变乱中所行使的磁盘数据破除器材。

Trojan.Alphanc用以在三月和四月份中撒播WannaCry，该病毒是Backdoor.Duuzer的批改版，而Backdoor.Duuzer之前与Lazarus有所关联。

Trojan.Bravonc与Backdoor.Duuzer和Backdoor.Destover行使沟通的IP地点以举办呼吁和节制，尔后两者均与Lazarus有所关联。

Backdoor.Bravonc的代码夹杂要领和WannaCry与Infostealer.Fakepude（与Lazarus有所关联）相似。

并且，WannaCry和之前与Lazarus相干的 Backdoor.Contopee之间存在共享代码。

2017年2月10日，赛门铁克发明白WannaCry在收集中作乱的首个证据，其时有一家机构受到了传染。在初次传染的两分钟内，机构中的100多台计较机便遭到了传染。

收集进攻者在受害者收集上留下了几个器材，从而提供了WannaCry撒播方法简直凿证据。我们在一台受影响的计较机上发明白两个文件，即mks.exe和hptasks.exe（拜见附录C：传问鼎标）。mks.exe这个文件是Mimikatz(Hacktool.Mimikatz)的一个变体，而Mimikatz则是普及用于方针性进攻中的暗码转储器材。第二个文件hptasks.exe用以行使mks.exe偷取的暗码，在其他收集计较机上复制和执行WannaCry。

WannaCry通过hptasks.exe撒播有两个阶段的进程。在第一阶段，hptasks运行后可转达一个IP地点的方针清单，将其作为一个参数。在给出这条呼吁时，hptasks将在一个名为“cg.wry”的文件中读取之前偷取的认证信息，并用其毗连IP地点范畴组内的全部计较机。全部毗连实行均记录于log.dat文件。假如乐成毗连长途计较机，则Admin$或C$Windows这两个文件夹中将不存在带有.res后缀名的文件，之后hptasks.exe将把表2中列出的文件复制在长途计较机之上。

在hptasks.exe在长途计较机上执行WannaCry之后，第二阶段开始。hptasks可将多个参数转达到长途计较机上的WannaCry安装措施，包罗一个组新的IP地点。假如WannaCry作为参数与这些IP地点一路运行，则不能加密当地计较机上的文件。然而，WannaCry可与转达的IP地点相连，行使文件c.wry资源段中嵌入的认证信息，会见这些计较机上的Admin$和C$分享文件，之后长途对这些文件举办加密。

除hptasks.exe和mks.exe外，我们在受害者收集的第二台计较机上发明白恶意软件的其它五个构成部门。这五个器材由三个与Lazarus有关。有两个是索尼影业公司进攻变乱中所用器材Destover (Backdoor.Destover)的变体。第三个是Trojan.Volgmer，Lazarus之前曾用此恶意软件进攻南韩的方针。

自3月27日起，至少有五家机构遭到了新版WannaCry的传染。这些进攻变乱好像没有什么牢靠模式，受进攻的机构涉及各个行业，地理位置也各类百般。然而，这些进攻变乱显现了WannaCry和Lazarus背后之间相关的其他证据。

为了陈设WannaCry，这些进攻行使了两种差异的后门措施：Trojan.Alphanc和Trojan.Bravonc。Alphanc用以将WannaCry安排于至少属于两名已知受害者的计较机之上，将略微调解的恶意软件陈设至全部受害者的计较机上。

Alphanc的大量代码与Backdoor.Duuzer沟通，尔后者是索尼影业进攻变乱中所用数据破除器材Destover的子类（拜见附录B：共享代码）。究竟上，赛门铁克研究职员以为Alphanc就是Duuzer的演变措施。Duuzer之前与Backdoor.Joanap和Trojan.Volgmer的勾当也有所接洽，尔后两者先前均与Lazarus有关联。

赛门铁克研究职员可以或许建设Alphanc在受害者体系上勾当的具体时刻表，从该病毒登录体系开始到WannaCry陈设完毕为止。

Alphanc作为armsvc.exe陈设至方针计较机之上，并在几分钟后自行复制，并行使新文件名javaupdate.exe。样本从以下位置开始执行：

cmd.exe /c "copy c:UsersAdministratorAppDataarmsvc.exe

c:windowssystem32javaupdate.exe >

C:UsersREDACTEDAppDataLocalTempNK15DA.tmp" 2>&1

几分钟后，体系将建设并执行认证信息转储器mks.exe（与二月份WannaCry行使的认证信息转储器沟通）。之后三天没有任何勾当，随后收集进攻者送回并陈设RAR版本并建设暗码掩护文档。半晌之后，一个名为“g.exe”的收集扫描措施开始运行。该措施对收集进攻者所选择IP地点范畴中的全部IP地点举办域名理会，很也许是为了确定其感乐趣的计较机。在收集进攻者将设置文件送回当地收集前，勾当会有一个两天的隔断。所用呼吁示例包罗：

cmd.exe /c "net view > C:UsersREDACTEDAppDataLocalTempNK2301.tmp" 2>&1 cmd.exe /c "net view /domain > C:UsersREDACTEDAppDataLocalTempNK6C42.tmp" 2>&1 cmd.exe /c "time /t > C:UsersREDACTEDAppDataLocalTempNKC74F.tmp" 2>&1

之后，javaupdate.exe建设文件taskhcst.exec。这即是打单软件WannaCry。.exec后缀名从头改名为.exe，如下所示。这很也许是一个安详搜查，使收集进攻者不会错误地过早执行此文件。

cmd.exe /c "ren C:Windowstaskhcst.exec taskhcst.exe >

C:UsersREDACTEDAppDataLocalTempNK833D.tmp" 2>&1

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!