編號: TB-2017-0007
報告置信度:65
TAG:勒索軟件 WannaCry Lazarus朝鮮 蠕蟲秘密開關域名
TLP: 白(報告轉發及使用不受限制)
日期: 2017-05-16
摘要
今日凌晨，Google、卡巴斯基和賽門鐵克等公司安全研究者[1]相繼發布消息稱，5月12日爆發的WannaCry勒索蠕蟲與朝鮮黑客組織Lazarus存在聯系，微步在線分析師迅速對相關樣本進行了同源性分析，發現二者確實具備較高相似度，出自同一組織的可能性較大。
其他發現還有：
微步在線長期跟蹤朝鮮Lazarus團伙，曾先后發布包括《APT攻擊團伙對SWIFT系統發起定向攻擊》、《朝鮮黑客組織對多國銀行發起定向攻擊》在內的多個報告，披露朝鮮黑客組織Lazarus對孟加拉、印尼、越南等多個國家銀行的攻擊細節。
此次攻擊目的表面為經濟利益，但對于發起攻擊日期的選擇尚存疑。
最新捕獲的WannaCry蠕蟲出現第三個kill switch秘密開關。
具體域名見下文
微步在線的威脅情報平臺已支持相關攻擊的檢測。已部署的客戶可查看報警迅速鎖定失陷主機，減少損失。如需微步在線協助，可與客戶經理聯系或通過contactus@threatbook.cn與我們聯系。
事件概要
攻擊目標 
所有存在MS17-010漏洞主機 
時間跨度 
2017年5月12日至今
攻擊復雜度 
中。豐富的編程經驗和基礎資源 
后勤資源 
豐富的基礎資源及開發能力 
攻擊向量 
高危漏洞 
風險承受力 
高 
最終目標 
未知（加密敏感數據，勒索贖金？） 
詳情
Lazarus組織是誰？
Lazarus組織自 2009 年被首次發現，近年來頻繁針對全球范圍內的金融業發起攻擊，目標范圍包括菲律賓、越南、孟加拉等東南亞國家以及波蘭等歐洲國家，其攻擊手段十分隱蔽，攻擊工具高度定制化，攻擊目的非常明確，即盜取銀行的資金，危害性極大。調查認為，該組織由朝鮮政府支持。
WannaCry與Lazurus組織的聯系？
通過對本次爆發的WannaCry勒索蠕蟲分析發現，該惡意軟件早在今年2月就已經在互聯網出現，只是當時的版本不具備利用MS17-010漏洞進行大范圍傳播的功能，因此未引起關注。Google研究者Neel Mehta今日在Twitter率先發布消息稱，早期的WannaCry樣本與Lazarus團伙使用的一款后門程序Contopee存在較高相似度.稍后卡巴斯基和賽門鐵克研究者基于此發布了更多分析結果。

微步在線對相關樣本比對發現，兩者確實使用了同樣一段加密函數相似度超過99%。相似代碼片段如下圖所示：

上圖左側為今年2月出現的WannaCry早期樣本，右側為2015年2月Lazarus組織使用的Contopee樣本。兩者在微步在線的威脅分析平臺截圖如下：

https://x.threatbook.cn/report/3e6de9e2baacf930949647c399818e7a2caea2626df6a468407854aaa515eed9

https://x.threatbook.cn/report/766d7d591b9ec1204518723a1e5940fd6ac777f606ed64e731fd91b0b4c3d9fc
而在近日出現的WannaCry樣本則沒有找到這段相似代碼，應該已被作者刪除。
如果是Lazarus團伙，他們的目的是什么？
Lazarus團伙作為朝鮮“國家隊”，此次攻擊表面是為了勒索資金，但選擇在5月12日發起攻擊，或許存在更加重要的政治目的。
此外，朝鮮官方twitter曾在WannaCry發起攻擊前一天，發表twitter稱：“有報道稱 ，朝鮮是美國第一大威脅源，排在網絡之前。”

正如卡巴斯基研究團隊所指出：目前需要的更多全球安全研究者共同對WannaCry蠕蟲進行深入分析，以最終確定攻擊者身份和來源。在孟加拉央行攻擊事件早期，沒有太多證據指向朝鮮Lazarus團伙，但隨著全球安全研究者分析的不斷深入，最終發現了大量朝鮮相關證據。
如果WannaCry蠕蟲真的出自Lazarus團伙之手，這將是全球第一起國家級的勒索軟件攻擊事件。
有沒有可能是誤判？
完全有可能。同樣的代碼片段和技巧可能會被不同的病毒編寫者采用。但從目前全球各國安全研究者的分析來看，Lazarus團伙嫌疑較大。微步在線正在進行深入分析，同時也將持續關注全球安全同行的分析進展，進行綜合研判。
WannaCry還在更新嗎？
最新捕獲的存在第三個“開關域名”WannaCry樣本，開關地址如下：
www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com（207.154.243.152）
該域名同樣已被安全研究者注冊，因此該變種的傳播也會被有效遏制。但仍建議客戶及時修改此開關域名的解析地址，防止內網機器無法訪問引發后續加密攻擊。
還有更多秘密開關嗎？
我們關注到國外安全廠商Zscaler在博客中提到第四個秘密開關域名，但稍后刪除了該博客。該開關域名已被注冊，但微步在線尚未發現有傳播中的蠕蟲樣本使用此開關域名。我們會保持持續監控。
www.iuqerssodp9ifjaposdfjhgosurijfaewrwergwea[.]com
與第一個開關相差一個字母。
附錄
變種蠕蟲開關域名
www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com（秘密開關域名，請勿攔截）
207.154.243.152
變種蠕蟲hash
062334a986407eef80056f553306ebfd8bb0916320dd271c24e6a2d51f177feb
b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06
[1] https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link
https://blog.comae.io/wannacry-links-to-lazarus-group-dcea72c99d2d