梅西、朝鲜、比特币,解密 WannaCry 破壳前的最后时刻

网络攻击来自哪里?这大概是攻击者最不想让你知道的事情。

他们可能来自世界的任何一个角落,只要有网络就好。他们可能是从事黑产——图利,可能受到指挥——为己为国,也可能只是一时兴起......

“黑客是像艺术家一样的自由人,”俄罗斯总统普京在最近一次记者会上说,“如果艺术家们早上起来感觉不错,他们会画一整天。黑客也是如此。”


从入侵企业、银行、纳斯达克到干涉美国大选,美国几乎把所有“锅”都甩给了俄罗斯黑客。

对此,普京的回击似乎也有理有据:“黑客可能来自任何地方,他们可能在俄罗斯、亚洲、美洲、拉丁美洲......顺便提一下,黑客可能就在美国。正如我们已经了解的,他们非常熟练而且专业地嫁祸给俄罗斯。”

当然,普京的“黑客嫁祸说”并非空穴来风。

“维基解密”曝光的文件中显示,美国中情局利用网络工具将自己发起的病毒和攻击嫁祸给包括中国、俄罗斯等其他国家。

此前,俄罗斯安全公司卡巴斯基分析发现“全球四分之三的勒索软件都是由说俄语者开发”。紧随其后,一家英国研究机构通过分析发现竟然有人故意将恶意软件翻译成俄语,嫁祸俄罗斯人。

这就像俄罗斯大义灭亲举报小偷是俄罗斯的,而福尔摩斯的同乡则风度翩翩地说凶手其实另有其人。请问你们真的考虑过美国人的感受吗?

经多方机构调查表明,嫁祸俄罗斯的幕后是 Lazarus Group 黑客组织, 被认为长期由朝鲜政府控制。

这个组织的网络攻击被发现始于 2009 年,直到 2014 年 11 月成功攻下索尼——入侵摧毁索尼的大量服务器并盗取大量数据,让 Lazarus Group 一战成名。自那以后,他们参与的攻击活动激增,针对全球银行 SWIFT 系统的种种攻击活动为安全研究人员留下了足迹可循。

而上月席卷全球 30 万台计算机的比特币勒索软件 WannaCry 一度被认为和这个朝鲜黑客组织有关。

之前我们介绍过 WannaCry 勒索病毒的始末,而对于它的来历,研究者则是众说风云。

在 WannaCry 爆发后不久,卡巴斯基实验室安全研究者称其发现早期病毒版本与 2015 年 2 月的病毒样本中存在部分相似代码,并推测背后黑客团队可能是 Lazarus Group。赛门铁克实验室以及 Matt Suiche 也得出相同结论。

但是,仅根据软件同源性分析就推断出幕后真凶不免牵强。

语言学家分析了勒索软件使用的 28 种提示语言,认为编写者应该是使用中文或者英文的人。(详见下图)

由于勒索软件的韩版提示无论从语法或者词汇上看起来都很糟糕,Lazarus 的嫌疑似乎因此削弱。然而仅仅通过编写的语言推断软件作者的母语,还是显得过于草率了。

数据是新石油。

西班牙最大通讯服务供应商、同时也是此次勒索软件的受害者 Telefonica,其安全部门 ElevenPaths 研究人员对勒索软件元数据进行了分析,有以下推测:

  • 攻击者在 5 月 9 日开始这次攻击行为;

  • 从 10 日到 12 日(几乎全天无休)编写勒索软件;

  • 出于某些原因,攻击者在编写中文文件时花费了更多时间;

  • Word 默认语言为韩语/朝鲜语;

  • 攻击者在东二区与东十二区之间。


ElevenPaths 实验室负责人 De los Santos 称攻击者忽略了埋藏于元数据中的重要信息。

他们发现 RTF 文件中编辑和作者都用了“梅西” Messi,也就是那位足球明星。虽然,这不能佐证梅西参与了这次黑客攻击,但也不难看出攻击者对足球的特殊感情。

另外,创造这些 RTF 文件的 Word 默认语言为韩语/朝鲜语。攻击者在隐藏身份时会假装流利地使用非母语,并故意在自己使用母时错误百出,但是这一次他们忽略了默认语言设置。

De los Santos 团队利用一个名为 Metashield Clean-up 的工具挖掘出 WannaCry 的元数据,复原了攻击者的活动轨迹。

阴谋始于 4 月 27 日,攻击者创建了一个位图文件用作壁纸,以及一个自述文件。

5 月 9 日,一个包含了攻击者用于登陆勒索支付系统—— Tor 的压缩包被创建。

一天之后,攻击者创建了另一个包含洋葱域名的文件和一个比特币钱包。

5 月 11 日,攻击者对之前的位图文件、自述文件以及洋葱域名进行了编辑(见上图)。同一天它们被添加到一个有密码保护的压缩文件中。

5 月 12 日当地时间凌晨 2:22,可执行文件被添加到压缩包中,有效负载已就绪。

时间似乎在那一刻被静止,WannaCry 开始疯狂吞噬着浩瀚无垠的网络空间。一场杀戮就此展开。

美国 NSA 已经“比较有把握”确定朝鲜间谍机构侦查总局与此次攻击有关联。

尽管攻击者至今只获得 14 万美元的赎金收入,一些小失误造成了背景暴露,但就像此前的一条评论:它并不是一场网络战的导火索,仅仅是冰山一角。

GeekPwn 2017 嘉年华将于 10 月 24 日上海站和大家不见不散,硅谷站则于 11 月 11 日战火重燃。

发表留言:

微信之又弹了xss...思路666 渗透测试中常见的端口
返回顶部