锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
疑似朝鲜黑客组织Lazarus所为,WannaCry惊天大发现

作者: 佚名  日期:2017-05-16 20:52:15   来源: 本站整理

 编号: TB-2017-0007
报告置信度:65
TAG:勒索软件 WannaCry Lazarus朝鲜 蠕虫秘密开关域名
TLP: 白(报告转发及使用不受限制)
日期: 2017-05-16
摘要
今日凌晨,Google、卡巴斯基和赛门铁克等公司安全研究者[1]相继发布消息称,5月12日爆发的WannaCry勒索蠕虫与朝鲜黑客组织Lazarus存在联系,微步在线分析师迅速对相关样本进行了同源性分析,发现二者确实具备较高相似度,出自同一组织的可能性较大。
其他发现还有:
微步在线长期跟踪朝鲜Lazarus团伙,曾先后发布包括《APT攻击团伙对SWIFT系统发起定向攻击》、《朝鲜黑客组织对多国银行发起定向攻击》在内的多个报告,披露朝鲜黑客组织Lazarus对孟加拉、印尼、越南等多个国家银行的攻击细节。
此次攻击目的表面为经济利益,但对于发起攻击日期的选择尚存疑。
最新捕获的WannaCry蠕虫出现第三个kill switch秘密开关。
具体域名见下文
微步在线的威胁情报平台已支持相关攻击的检测。已部署的客户可查看报警迅速锁定失陷主机,减少损失。如需微步在线协助,可与客户经理联系或通过contactus@threatbook.cn与我们联系。
事件概要
攻击目标 
所有存在MS17-010漏洞主机 
时间跨度 
2017年5月12日至今
攻击复杂度 
中。丰富的编程经验和基础资源 
后勤资源 
丰富的基础资源及开发能力 
攻击向量 
高危漏洞 
风险承受力 
高 
最终目标 
未知(加密敏感数据,勒索赎金?) 
详情
Lazarus组织是谁?
Lazarus组织自 2009 年被首次发现,近年来频繁针对全球范围内的金融业发起攻击,目标范围包括菲律宾、越南、孟加拉等东南亚国家以及波兰等欧洲国家,其攻击手段十分隐蔽,攻击工具高度定制化,攻击目的非常明确,即盗取银行的资金,危害性极大。调查认为,该组织由朝鲜政府支持。
WannaCry与Lazurus组织的联系?
通过对本次爆发的WannaCry勒索蠕虫分析发现,该恶意软件早在今年2月就已经在互联网出现,只是当时的版本不具备利用MS17-010漏洞进行大范围传播的功能,因此未引起关注。Google研究者Neel Mehta今日在Twitter率先发布消息称,早期的WannaCry样本与Lazarus团伙使用的一款后门程序Contopee存在较高相似度.稍后卡巴斯基和赛门铁克研究者基于此发布了更多分析结果。

微步在线对相关样本比对发现,两者确实使用了同样一段加密函数相似度超过99%。相似代码片段如下图所示:

上图左侧为今年2月出现的WannaCry早期样本,右侧为2015年2月Lazarus组织使用的Contopee样本。两者在微步在线的威胁分析平台截图如下:

https://x.threatbook.cn/report/3e6de9e2baacf930949647c399818e7a2caea2626df6a468407854aaa515eed9

https://x.threatbook.cn/report/766d7d591b9ec1204518723a1e5940fd6ac777f606ed64e731fd91b0b4c3d9fc
而在近日出现的WannaCry样本则没有找到这段相似代码,应该已被作者删除。
如果是Lazarus团伙,他们的目的是什么?
Lazarus团伙作为朝鲜“国家队”,此次攻击表面是为了勒索资金,但选择在5月12日发起攻击,或许存在更加重要的政治目的。
此外,朝鲜官方twitter曾在WannaCry发起攻击前一天,发表twitter称:“有报道称 ,朝鲜是美国第一大威胁源,排在网络之前。”

正如卡巴斯基研究团队所指出:目前需要的更多全球安全研究者共同对WannaCry蠕虫进行深入分析,以最终确定攻击者身份和来源。在孟加拉央行攻击事件早期,没有太多证据指向朝鲜Lazarus团伙,但随着全球安全研究者分析的不断深入,最终发现了大量朝鲜相关证据。
如果WannaCry蠕虫真的出自Lazarus团伙之手,这将是全球第一起国家级的勒索软件攻击事件。
有没有可能是误判?
完全有可能。同样的代码片段和技巧可能会被不同的病毒编写者采用。但从目前全球各国安全研究者的分析来看,Lazarus团伙嫌疑较大。微步在线正在进行深入分析,同时也将持续关注全球安全同行的分析进展,进行综合研判。
WannaCry还在更新吗?
最新捕获的存在第三个“开关域名”WannaCry样本,开关地址如下:
www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com(207.154.243.152)
该域名同样已被安全研究者注册,因此该变种的传播也会被有效遏制。但仍建议客户及时修改此开关域名的解析地址,防止内网机器无法访问引发后续加密攻击。
还有更多秘密开关吗?
我们关注到国外安全厂商Zscaler在博客中提到第四个秘密开关域名,但稍后删除了该博客。该开关域名已被注册,但微步在线尚未发现有传播中的蠕虫样本使用此开关域名。我们会保持持续监控。
www.iuqerssodp9ifjaposdfjhgosurijfaewrwergwea[.]com
与第一个开关相差一个字母。
附录
变种蠕虫开关域名
www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com(秘密开关域名,请勿拦截)
207.154.243.152
变种蠕虫hash
062334a986407eef80056f553306ebfd8bb0916320dd271c24e6a2d51f177feb
b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06
[1] https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link
https://blog.comae.io/wannacry-links-to-lazarus-group-dcea72c99d2d



热门文章
  • 机械革命S1 PRO-02 开机不显示 黑...
  • 联想ThinkPad NM-C641上电掉电点不...
  • 三星一体激光打印机SCX-4521F维修...
  • 通过串口命令查看EMMC擦写次数和判...
  • IIS 8 开启 GZIP压缩来减少网络请求...
  • 索尼kd-49x7500e背光一半暗且闪烁 ...
  • 楼宇对讲门禁读卡异常维修,读卡芯...
  • 新款海信电视机始终停留在开机界面...
  • 常见打印机清零步骤
  • 安装驱动时提示不包含数字签名的解...
  • 共享打印机需要密码的解决方法
  • 图解Windows 7系统快速共享打印机的...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等