记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

揭开WannaCry和ExPetr“勒索面纱”背后的动机之谜

2017-07-26 20:10

前情提要

2017年上半年发生了两起全球性的勒索软件事件,WannaCry和ExPetr恶意软件的传播速度之、效率之高都注定了它们会成为勒索软件历史上的里程碑事件。如此非凡的速度和效率,人们大概会猜想至少有一个幕后团队会带走一大笔现金吧,然而,事实并非如此。

这两期勒索事件是有两个不同的团体操纵的,尽管他们似乎可以获得丰厚的回报,但证据表明,他们似乎对赎金并不感兴趣。没有“财务目标”的勒索,其动机是令人费解的、不同寻常的。

可以这么说,他们尽管是采用了勒索软件的方式,但是破坏性的目的更为明确,

“勒索面纱”背后的动机

如果说“2是一个巧合,3是一个趋势”,那么或许现在我们还没有真正摸清WannaCry和ExPetr这两起攻击中体现出来的新型APT攻击的演化趋势。尽管时机未到,但也许我们已经接近事实了。

卡巴斯基实验室的研究人员开始分析每一次全球性网络安全事件爆发背后的真正动机,以及这些攻击是否真的标志者民族/国家层面的战略方向的转变。(参见「更多资料」部分)

《思科2017年中网络安全报告》中似乎指出了一个方向,报告中提到攻击者的活动越来越具有破坏性,大规模的弱保护和易受攻击的连接设备将成为攻击者手中可利用的工具。

卡巴斯基实验室对WannaCry和ExPetr这两起全球性的攻击事件在多个层面逐一进行了对比,发现它们在传播途径上有一些相似之处,即都与NSA 泄露的漏洞利用工具EternalBlue有关(完全或部分),尽管如此,WannaCry和ExPetr是由两个完全不同的团队操控的,前者是仓促的、机会主义的、缺乏技术能力的;后者是实用的、灵活的、更为专注的。与此同时,研究人员发现了攻击者一个不同寻常的战术:勒索只是伪装,事实上是针对特定目标展开的极具破坏性的APT攻击。

下图展示了WannaCry和ExPetr的异同:

ExPetr采用了勒索软件常规的传播方式,但其真实的动机并非获利,恶意程序代码中的错误显示了被加密的数据是难以被恢复的,研究人员花了很长事件猜得出结论:ExPetr主要是针对乌克兰组织的隐形雨刷(数据擦除)攻击。被恶意软件入侵的电脑的主引导区记录被覆盖,意味着机器上的数据永远消息了。研究人员补充说:大概从受害者那里收获几百美元的比特币,距离攻击者的真实意图相差甚远。

“ExPetr与Shamoon、Destover或Black Energy攻击的不同之处在于,后边的那些攻击的破坏性更为直接,这些恶意软件的组件都是雨刮器技术,以故意和破坏性的方式交付。有趣的是,这些壮观的景象都与大型的政治事件和利益相吻合”,卡巴斯基的研究人员说,“因此,掩盖其破坏活动或蓄谋,是一项新的需求,这是战略层面上的有趣的转变”。

对于WannaCry而言,出现了“killswitch”(开关)功能,这在勒索软件中是很奇怪的,一些研究人员至今也没有彻底弄明白,为什么会这样做。

卡巴斯基实验室与订阅客户共享了私密报告,报告中提到WannaCry背后的攻击者还使用了电子邮件钓鱼攻击,邮件中的链接指向了一个文件共享服务主机。所谓的简历和岗位需求被替换为可执行未见,能够在受害者主机上安装droppers 和downloaders,它们随后被用来安装WannaCry。幕后操纵者(据说是朝鲜的Lazarus组织)并没有试图收集用于恢复文件的比特币,也没有对恶意软件做任何改进和发展,而这些动作都是为了盈利。

暗夜来临

“这种廉价的、为期两个月的活动也隐晦的告诉我们一些关于攻击者的情况,包括他们的能力和意图。缓慢、使用,以一种非常古怪的方式隐藏他们的真实意图”。

另一方面,思科的报告中更侧重与物联网设备参与的大规模的联合攻击行为。去年秋天DynDDoS攻击活动已经指明了防线,现在被赋予了ExPetr以及其他正在路上(预谋中的)攻击。

种种迹象表明,这种新型的、正在发展中的攻击类型与过去的攻击活动相比,更加险恶、更具有破坏性。

攻击者们正在设计重大影响的、精心策划的攻击,旨在攻破任何组织(无论大小)。对手们很清楚的知道,没有任何一家企业有一个应急计划,能够用来概述如何从零开始重建所有的IT或OT,显然,攻击者们已经决心利用这一弱点。

更多资料

https://securelist.com/be2-custom-plugins-router-abuse-and-target-profiles/67353/

https://securelist.com/destover/67985/

https://securelist.com/shamoon-the-wiper-further-details-part-ii/57784/

https://securelist.com/from-shamoon-to-stonedrill/77725/

https://securelist.com/a-kings-ransom-it-is-not/79057/

知识来源: www.mottoin.com/104348.html

阅读:106115 | 评论:0 | 标签:技术控 exp

想收藏或者和大家分享这篇好文章→复制链接地址

“揭开WannaCry和ExPetr“勒索面纱”背后的动机之谜”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云