WannaCry惊天大发现！疑似朝鲜黑客组织Lazarus所为

编号:TB-2017-0007 报告置信度:65

TAG:勒索软件WannaCryLazarus朝鲜蠕虫秘密开关域名

TLP: 白(报告转发及使用不受限制)

日期: 2017-05-16

…………………摘要…………………

今日凌晨，Google、卡巴斯基和赛门铁克等公司安全研究者相继发布消息称，5月12日爆发的WannaCry勒索蠕虫与朝鲜黑客组织Lazarus存在联系，微步在线分析师迅速对相关样本进行了同源性分析，发现二者确实具备较高相似度，出自同一组织的可能性较大。

其他发现还有：

· 微步在线长期跟踪朝鲜Lazarus团伙，曾先后发布包括《APT攻击团伙对SWIFT系统发起定向攻击》、《朝鲜黑客组织对多国银行发起定向攻击》在内的多个报告，披露朝鲜黑客组织Lazarus对孟加拉、印尼、越南等多个国家银行的攻击细节。

· 此次攻击目的表面为经济利益，但对于发起攻击日期的选择尚存疑。

· 最新捕获的WannaCry蠕虫出现第三个killswitch秘密开关。

· 最新开关域名已被以色列安全研究者注册掌控，建议企业及时按照微步建议修改此开关域名的解析地址，防止出现解析无效的情况发生。具体域名见下文

微步在线的威胁情报平台已支持相关攻击的检测。已部署的客户可查看报警迅速锁定失陷主机，减少损失。如需微步在线协助，可与客户经理联系或通过contactus@threatbook.cn与我们联系。

…………………事件概要…………………

…………………详情…………………

Lazarus组织是谁？

Lazarus 组织自 2009 年被首次发现，近年来频繁针对全球范围内的金融业发起攻击，目标范围包括菲律宾、越南、孟加拉等东南亚国家以及波兰等欧洲国家，其攻击手段十分隐蔽，攻击工具高度定制化，攻击目的非常明确，即盗取银行的资金，危害性极大。调查认为，该组织由朝鲜政府支持。

WannaCry与Lazurus组织的联系？

通过对本次爆发的WannaCry勒索蠕虫分析发现，该恶意软件早在今年2月就已经在互联网出现，只是当时的版本不具备利用MS17-010漏洞进行大范围传播的功能，因此未引起关注。Google研究者Neel Mehta今日在Twitter率先发布消息称，早期的WannaCry样本与Lazarus团伙使用的一款后门程序Contopee存在较高相似度.稍后卡巴斯基和赛门铁克研究者基于此发布了更多分析结果。

微步在线对相关样本比对发现，两者确实使用了同样一段加密函数相似度超过99%。相似代码片段如下图所示：

上图左侧为今年2月出现的WannaCry早期样本，右侧为2015年2月Lazarus组织使用的Contopee样本。两者在微步在线的威胁分析平台截图如下：

https://x.threatbook.cn/report/3e6de9e2baacf930949647c399818e7a2caea2626df6a468407854aaa515eed9

https://x.threatbook.cn/report/766d7d591b9ec1204518723a1e5940fd6ac777f606ed64e731fd91b0b4c3d9fc

而在近日出现的WannaCry样本则没有找到这段相似代码，应该已被作者删除。

如果是Lazarus团伙，他们的目的是什么？

Lazarus团伙作为朝鲜“国家队”，此次攻击表面是为了勒索资金，但选择在5月12日发起攻击，或许存在更加重要的政治目的。

此外，朝鲜官方twitter曾在WannaCry发起攻击前一天，发表twitter称：“有报道称，朝鲜是美国第一大威胁源，排在网络之前。”

正如卡巴斯基研究团队所指出：目前需要的更多全球安全研究者共同对WannaCry蠕虫进行深入分析，以最终确定攻击者身份和来源。在孟加拉央行攻击事件早期，没有太多证据指向朝鲜Lazarus团伙，但随着全球安全研究者分析的不断深入，最终发现了大量朝鲜相关证据。

如果WannaCry蠕虫真的出自Lazarus团伙之手，这将是全球第一起国家级的勒索软件攻击事件。

有没有可能是误判？

完全有可能。同样的代码片段和技巧可能会被不同的病毒编写者采用。但从目前全球各国安全研究者的分析来看，Lazarus团伙嫌疑较大。微步在线正在进行深入分析，同时也将持续关注全球安全同行的分析进展，进行综合研判。

WannaCry还在更新吗？

最新捕获的存在第三个“开关域名”WannaCry样本，开关地址如下：

www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com（207.154.243.152）

该域名同样已被安全研究者注册，因此该变种的传播也会被有效遏制。但仍建议客户及时修改此开关域名的解析地址，防止内网机器无法访问引发后续加密攻击。

还有更多秘密开关吗？

我们关注到国外安全厂商Zscaler在博客中提到第四个秘密开关域名，但稍后删除了该博客。该开关域名已被注册，但微步在线尚未发现有传播中的蠕虫样本使用此开关域名。我们会保持持续监控。

www.iuqerssodp9ifjaposdfjhgosurijfaewrwergwea[.]com

与第一个开关相差一个字母。

附录

变种蠕虫开关域名

www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com（秘密开关域名，请勿拦截）

207.154.243.152

变种蠕虫hash

062334a986407eef80056f553306ebfd8bb0916320dd271c24e6a2d51f177feb

b9318a66fa7f50f2f3ecaca02a96268ad2c63db7554ea3acbde43bf517328d06