赛门铁克称 WannaCry 与黑客组织 Lazarus 有关，但没提朝鲜

快要45分钟之后，收集进攻者将后门措施javaupdate.exe复制至长途计较机之上。之后，收集进攻者还在此计较机粘贴了一个名为“bcremote.exe”的文件；该文件和二月份进攻中名为hptasks.exe的器材沟通，用以在收集上撒播WannaCry。WannaCry随后复制此文件的设置文件，并最终举办自我复制：

cmd.exe /c "net use REDACTEDipc$REDACTED/u:REDACTED> C:UsersREDACTEDAppDataLocalTempNK2E.tmp" 2>&1 cmd.exe /c "copy c:windowssystem32javaupdate.exe REDACTEDc$windowsjavaupdate.exe > C:UsersREDACTEDAppDataLocalTempNK3E49.tmp" 2>&1 cmd.exe /c "copy c:windowsberemote.exe REDACTEDc$windows > C:UsersREDACTEDAppDataLocalTempNK4DD5.tmp" 2>&1 cmd.exe /c "copy c:windowsc.wry REDACTEDc$windows > C:UsersREDACTEDAppDataLocalTempNK7228.tmp" 2>&1 cmd.exe /c "copy c:windowstaskh*.exe REDACTEDc$windows > C:UsersREDACTEDAppDataLocalTempNK7DCF.tmp" 2>&1

沟通措施还会在收集上的第二台处事器长举办，执行bcremote.exe呼吁后，WannaCry便在整个收集中开始撒播。

有关Trojan.Bravonc的运行信息很少，该措施用以将WannaCry放于至少两名其他受害者的计较机之上，表白其与Lazarus团伙有着相等明晰的关联。

该措施毗连IP地点87.101.243.252上的呼吁和节制(C&C)处事器，该IP地点与Destover（Lazrus的一款知名器材）示例中行使的IP地点沟通。Blue Coat在《从首尔到索尼陈诉》中也说起了此IP地点。

我们还发明Duuzer用此IP地点作为C&C处事器。Bravonc和Destover的一个变体还共享暗码相干代码（拜见附录B：共享代码）。另外，Bravonc的撒播方法（在SMB上行使硬编码认证信息）与Lazarus相干的另一个器材Joanap行使了沟通的技能。

5月12日，整合已泄漏“永恒之蓝”操作器材的新版WannaCry宣布了，“永恒之蓝”可行使Windows中的两个已知裂痕（CVE-2017-0144和CVE-2017-0145）将打单软件撒播至受害者收集中未安装补丁的计较机之上，也可将其撒播至与互联网毗连的其他安详防御单薄的计较机之上。

整合“永恒之蓝”之后，WannaCry从仅能在受限数目方针性进攻中行使的伤害器材转酿成一个连年来最为恶性的恶意软件。这种恶意软件造成了大范畴粉碎，许多机构受到传染，尚有一些机构被迫对计较机举办离线软件进级。MalwareTech的一篇收集安详博文先容了对该恶意软件杀手锏的发明和触发道理，从而制限定了它的撒播和危害。

早期版本的WannaCry和5月12日进攻中所行使的在很洪流平上是沟通的，但也有一些小变动，首要是后者对“永恒之蓝”操作器材举办了整合。用以加密Zip文件的暗码嵌入于WannaCry 开释器之中，与其他两个版内情似（“wcry@123”、“wcry@2016”和 “WNcry@2ol7”），声名这两个版本软件的作者也许来自统一个团伙。

第一个版本的WannaCry行使了少量的比特币客户端，并且撒播性不广，这声名其不是浩瀚收集犯法团伙所共享的器材。同时也进一步证明白两个版本的WannaCry都由一个团伙所操纵。

除了WannaCry撒播器材的沟通性之外，WannaCry自己和Lazarus团伙尚有着许多关联。该打单软件与恶意软件Backdoor.Contopee共享了一些代码，尔后者先前与Lazarus有所关联。Contopee的一个变体行使了自界说SSL器材， 其加密套件与WannaCry所用的沟通。在这两个例子中，加密套件均行使了沟通组的暗码，共75个差异暗码可供选择（与拥有300多个暗码的OpenSSL差异）。

另外，WannaCry的代码夹杂要领与Infostealer.Fakepude相同，尔后者先前与Lazarus有所关联；并且，三月和四月份用以撒播WannaCry的恶意软件Trojan.Alphanc也与Lazarus 有所关联（请拜见上文）。

对少量WannaCry早期进攻变乱的发明，提供了该打单软件与Lazarus团伙有所关联的强力证据。这些早期进攻明明行使了先前与Lazarus 相干的器材、代码和基本办法，并且通事后门措施和偷取认证信息举办撒播的方法也与Lazarus先前的进攻相同等。“永恒之蓝”操作器材的走漏使收集进攻者可以或许将WannaCry变得更为强盛，远远比该打单软件在依靠自有器材时强盛得多。这是由于收集进攻者借此可以或许绕过许多之前必需执行的步调，无需再偷取认证信息并在计较机之间相互复制粘贴。

雷锋网版权文章，未经授权榨取转载。

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!