從 WanaCry 看世界資安趨勢

從 WanaCry 看世界資安趨勢
2017/10/05
Ashley Shen

View Slide

Hello World!
I am Ashley Shen (沈祈恩)
 資深資安威脅分析師/研究員.
 專注於研究全球網絡間諜攻擊行動
 擅長惡意程式分析，攻擊行動分析，駭客攻擊組
織族群追蹤
 現任黑帽大會亞洲區審稿委員 (Black Hat Asia
Review Board)
 HITC ON GIR LS 資安女性社群共同創辦人
 曾於 Black Hat、HITB、Troopers、Code Blue、
FIR ST、HITC ON 等國際研討會擔任講師
[email protected]

View Slide

今天你會聽到的內容
 充滿威脅的網路世界
◼ 網路世界有哪些威脅?
◼ 惡意程式有哪幾種?
◼ 勒索軟體的猖獗
◼ 該如何預防感染?
 什麼是 WanaCrypt0r (WannaCry)?
◼ 為什麼 WannaCry 很特別?
◼ 你看不到的第三次世界大戰
◼ 有趣小故事
 這個故事告訴我們
◼ 全球資安人才荒
◼ 資安工作的選擇
◼ 你可以如何開始
 聽過 WannaCry 但沒看過 WannaCry ?
◼ 惡意程式分析如何讓我們找到兇手
◼ LAB 1: 體驗被加密的感覺
◼ LAB 2: WannaCry 實際拆解

View Slide

1.
充滿威脅的網路世界
The cyber world full of
threats

View Slide

“
網路世界有哪些威脅呢 ?

View Slide

資料外洩事件

View Slide

資料外洩事件
 資料外洩頻率在過去幾年大幅增加
 2016 年重大資料外洩事件:
◼ 5 月, Linkedin 外洩 117 筆用戶帳密與個資外洩
◼ 5 月, MySpace 爆出 427 萬筆客戶帳密外洩
◼ 6月, Twitter 爆出近3300萬筆帳密遭公開
◼ 8 月, 美國 National Security Agency (NSA) 遭駭, 外洩資料包含美國政府的
攻擊組織工具
◼ 9 月及 12月, Yahoo 分別爆出兩起資料外洩事件, 外洩規模到達10 億筆資料

View Slide

網路犯罪事件

View Slide

持續性進階攻擊事件/針對性攻擊事件 (APT/Targeted)

View Slide

物聯網攻擊事件

View Slide

網路詐騙事件

View Slide

勒索軟體病毒

View Slide

勒索攻擊事件

View Slide

從資安研究員的角度, 這些零零總總的攻擊主要分成三種

View Slide

“
駭客利用的惡意程式有那些呢 ?

View Slide

惡意程式的種類
蠕蟲 (Worm)
⚫ 一般指會大量自我複製並自我散
波的病毒
⚫ 某些蠕蟲會感染其他檔案
木馬 (Trojan)
⚫ 如同特洛伊木馬般，一般指偽裝
成正常程式 (木馬) 進入使用者環
境後，開啟後門讓攻擊者可以進
入破壞的程式
廣告軟體 (Adware)
⚫ 不會進行破壞或操控，主要目的
是強迫接受廣告內容
遠程操控軟體
(Remote Control
Tool, RAT)
⚫ 一開始的用途為方便管理，後來
被攻擊者拿來當作遠端控制使用
者電腦的武器
Rootkit
⚫ 泛指會隱藏自己行蹤來達成執行
惡意行為不被發現的程式
⚫ 一般不會單獨出現
勒索軟體
(Ransomware)
⚫ 加密使用者硬碟資料，強迫使用者支付
贖金來換取解密

View Slide

勒索軟體的特性
 將檔案當做人質做加密
◼ 通常針對文件檔案做加密 (doc, docx, ppt, pptx, xls, xlsx, txt, pdf, mp3..etc)
◼ 能被加密的檔案都要有寫入權限
◼ 連接的USB, 外接硬碟, 網路硬碟等都有可能會一起被加密
◼ 常用 AES or RSA 2048 加密演算法做加密
◼ 加密完成後顯示訊息要求受害者支付贖金 (通常為虛擬貨幣)
◼ 交付贖金後當一組ID提供給攻擊者會獲取一支解密程式

View Slide

勒索軟體不是新攻擊
 最早的勒索軟體出現在 1989 年，名為 “AIDS Trojan”
 以軟體結束授權為誘餌誘騙受害者支付贖金解開加密檔案
 使用對稱式加密的方式做加密

View Slide

勒索軟體不是新攻擊
 最早的勒索軟體出現在 1989 年，名為 “AIDS Trojan”
 勒索不是只有加密
◼ 還可以鎖螢幕 (2012年警察勒索病毒)
◼ 刪除備份檔案 (2015 VaultCrypt)
◼ 階段式刪除檔案 (持續不給贖金就刪更多檔案, 2016 VaultCrypt)
 1999 年開始提出非對稱式加密勒索病毒概念
 2006 Archiveus Trojan & GP Code
 2013 CryptoLocker, Locker, Crytolocker 2.0, CrytorBit
 2014 CTB-Locker, SynoLocker, CryptoWall, Cryptoblocker, OphionLocker
 2015 pclock, Cryptowall 2.0, TeslaCrypt, Cryptowall 3.0, Cryptowall 4.0,
LowLevel04
 2015 Chimera (如果不付錢駭客會把受害者資料公布在網路上)

View Slide

現在到底有幾種勒索軟體?
 多到數不清….
 好心人整理的 Spreadsheet
◼ https://docs.google.com/spreadsheets/d/1TWS238xacAto-
fLKh1n5uTsdijWdCEsG IM0Y0Hvmc5g/pubhtml

View Slide

View Slide

 奇琶獎: RensenWare勒索軟件
◼ 會要求受害者去玩《東方星蓮船》
（TH12:Undefined Fantastic Object）
這款遊戲，並且必須得分超過2億，才
能救回文檔。
Ref: https://kknews.cc/zh-mo/tech/vakv2qa.html

View Slide

 教育精神獎: Kindest 勒索軟件
◼ 系統一旦感染Kindest勒索軟件，受害
者就必須前往某個連結來學習更多有
關勒索軟件的知識

View Slide

 創意獎: Trump Locker
◼ 其實是Venuslocker的改
版，搶搭時事風潮

View Slide

為什麼勒索軟體會越來越多?
 本身實作上就不是很困難，成本很低
 越來越多公開原始碼的勒索軟體可以直接拿來使用 (Ex. EDA2, hidden
tear..etc)
 有人寫好的工具 (R ansomware Builder) 可以不用碰程式碼就產好攻擊用的檔
案 (而且還是免費的!)
 有一定成效，鎖定企業組織的報酬率非常高
 不易追蹤，使的攻擊風險低
 有組織提供勒索軟體服務 (R ansomware as a Service, RaaS), 讓攻擊者只要
花錢就可以進行攻擊

View Slide

 公開源始碼的
勒索軟體
EDA2

View Slide

 公開源始碼的勒索軟
體 Hidden tear

View Slide

 Ransomware Builder: Dubbed
Tox
 在暗網 (Dark Web) 中的論壇免
費流傳
 簡單三步驟，產出你自己的勒
索軟體
⚫ Decide the ransom amount.
⚫ Enter your “cause.”
⚫ Submit the captcha
Ref: http://securityaffairs.co/wordpress/37180/cyber-crime/tox-ransomware-builder.html

View Slide

 RaaS in Dark web

View Slide

在甚麼情況下會受到勒索軟體的感染呢?
 瀏覽網站
◼ 本身是惡意的網站 (不要隨意瀏覽來路不明的網站)
◼ 正常網站被攻擊後植入惡意代碼讓瀏覽者下載勒索軟體
◼ 惡意廣告
 瀏覽信件
◼ 惡意信件 (信件中的附件跟連結一定要謹慎觀察再決定是否打開)
 沒更新系統或軟體漏洞
◼ 勒索軟體會利用系統或軟體漏洞進行植入

View Slide

 CryptoWall 3.0 假冒為學
生求職履歷寄送惡意信
件
 這種手法叫做”社交工程”
(Social Engineering)

View Slide

 利用通訊軟體傳
播

View Slide

裝了防毒軟體是不是就不會被感染?
 不一定!
 有些勒索軟體在初期是偵測不到的
 某些勒索軟體在程式內插入隨機的垃圾碼和 API 來改變惡意程式特徵繞過防
毒
Ref: Trend Micro Blog

View Slide

我被加密了，該怎麼做?
 馬上中斷網路連線
 若是有資料還沒被加密，馬上進行備份
 若加密仍在進行中，馬上關機阻止程式繼續執行
 觀察是受到哪種勒索軟體的感染，找尋是否有解密程式
 備份被加密的檔案
 看看是否有機會利用 Shadow Copy (系統還原備份文件) 復原 (但機率不大，
很多勒索軟體會刪除這些檔案)

View Slide

怎麼知道中了勒索軟體?
 通常看到這個
已經GG 了

View Slide

怎麼知道中了勒索軟體?
 提早發現
◼ 瀏覽網頁到一半突然瀏覽器出現錯誤
◼ 電腦內出現一些奇怪副檔名的檔案
◼ 書籤列多了奇怪的書籤

View Slide

我被加密了，該怎麼做?
 錯誤解法

View Slide

怎麼知道是被哪種程式加密了?
 有些會直接告訴你

View Slide

怎麼知道是被哪種程式加密了?
 絕大部分可以透過加密檔案附檔名看出，拿去 Google

View Slide

加密演算法能被破解嗎?
 要看使用哪一種加密演算法，以及程式是否有漏洞
 加密演算法種類:
◼ 對稱式加密 (一把鑰匙)
• AES, RC4, DES
◼ 非對稱式加密 (兩把鑰匙)
• RSA, ECC
◼ 客製化的演算法

View Slide

◼ 對稱式加密 (一把鑰匙)

View Slide

◼ 非對稱式加密 (兩把鑰匙)

View Slide

 為什麼非對稱式加密比較安全?
◼ 對稱式加密的狀況下，跟不同的人傳訊息都要使用不同的 key
◼ 對稱式加密在遭受中間人攻擊 (Man in the middle attack) 時若 Key被竊取即
會被破解 (相較之下因為非對稱的 Private Key 不會經過傳送所以可以避免中
間人攻擊)

View Slide

Ref: https://securitycommunity.tcs.com/infosecsoapbox/articles/2017/06/12/ransomware-how-much-you-knew-and-what-you-need-know
勒索軟體怎麼實做加密?

View Slide

Ref: http://roger6.blogspot.tw/2017/06/wannacry-analyze-5.html
勒索軟體怎麼實做加密?

View Slide

 若是攻擊者使用自行定
義的加密演算法，可被
破解的機率就比較高
 簡單的XOR 也是加密呀!
(雖然沒有人會這樣做)

View Slide

被加密的資料不支付贖金就無法復原了嗎?
 可以試試看檔案救援軟體 (如果檔案的磁區很幸運沒有被複寫到)
 可以找找看網路上別人分享的 Key (很笨的 Ransomware會重複使用key的狀
況下有機會解出)
 可能會有奇蹟

View Slide

為什麼他們都要求以虛擬貨幣支付?
 不須使用姓名，攻擊者不會暴露身分
 去中心化 (沒有發行機構)，不會被凍結
 不受地理位置限制，可線上轉換成金錢
 比特幣實用性越來越高，價格穩定上漲 (沒買的可以買一下!)

View Slide

付了錢，我的資料就一定能復原嗎?
 不一定! 有一定風險無法復原
 但通常能復原的機率比較高 (做生意也要維持商譽)

View Slide

如果我真的不想付錢，那是不是就只能重灌了?

View Slide

 重灌前記得把加密的檔案保存下來，若是可以
的話將系統保存一份
 等待奇蹟:
◼ 期待有一天某個研究人員能發現演算法漏洞
◼ 期待有一天某家資安廠商會給出解密程式
◼ 期待有一天勒索軟體作者會良心發現

View Slide

 這個世界還是有
奇蹟的

View Slide

後面的攻擊者都是誰?
 從個人、犯罪組織到國家支持的網軍都有

View Slide

用MAC也會中嗎?
 你果粉嗎?
◼ OSX的勒索軟體: KeR anger, Crypto-ransomware..etc
◼ 所有作業系統都有漏洞
◼ 會不會中跟使用者習慣有比較大的關係

View Slide

該怎麼做才能避免感染呢?
 資料要定期備份!!! 資料要定期備份!!!資料要定期備份!!!
 吸收資安知識，提高自己的安全意識
◼ 連結不要亂點!
◼ 不要亂用盜版軟體
◼ 不要去奇怪的網站
◼ 只要是網路上來的東西都要保持懷疑
◼ 系統與軟體一定要保持更新
◼ 千萬不要有僥倖的心態

View Slide

2.
甚麼是WanaCrypt0r?
What is WanaCrypt0r?

View Slide

大名鼎鼎 WannaCry 想哭
 2017 年 5 月爆發
大規模勒索病毒感
染事件

View Slide

可能是全世界最關注資安議題的時候

View Slide

全世界幾乎都受到影響

View Slide

全球感染案例 – 英國國民保健署 (NHS)
 NHS (National Heath
Service 是英國的健保署
 16 間醫院因為受到
WannaCry 感染被迫關閉病
房跟急診室，取消手術進
行

View Slide

全球感染案例 – 俄國內政部 (Russia Interior Ministry)
 約 1000 台電腦受到感染
 俄國國營鐵路也受到攻擊

View Slide

全球感染案例 – 德國鐵路 (Deutche Bahn)
 列車電子看板系統被感染
 未造成列車行駛問題

View Slide

台灣 - 名列前茅重災區

View Slide

Ref: https://www.welivesecurity.com/wp-content/uploads/2017/05/Screen-Shot-2017-05-17-at-10.45.40.png

View Slide


View Slide

WannaCry 介紹
 WannaCry 本名 Wana Crypt0r
 在 2017 年 5 月肆虐, 但經研究最早的感染
 目前的研究資料指出最早的感染事件發生在 2017 年 2 月 (Symantec)
 從惡意程式發現的字串推測可能有2016年版的 WannaCry
 攻擊 Windows 系統
◼ Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7, Windows 8.1,
Windows RT 8.1, Windows Server 2012 and R2, Windows 10, Windows Server
2016, Windows XP)

View Slide

WannaCry 介紹
 目前還沒有明確證據顯示初期感染方式，有研究人員懷疑初期可能透過惡意
信件感染
 使用 AES + RSA 加密，破解機率微乎極微
 檔案被加密後會變成 .WNCR Y 副檔名
 勒索金額大概是 300 美金
 WannCry 之所以可以達到快速散波，主要是由於其能夠主動搜尋感染目標並
自動利用兩個SMB漏洞攻擊程式來進行攻擊的功能
◼ 掃描同網段內的所有IP，掃描是否存在SMB漏洞可攻擊
◼ 隨機產生一組外網IP，掃描是否存在SMB漏洞可攻擊

View Slide

爆發後的嘗試攻擊次數
 主動式的感染手法造成傳播速度非常的快
Ref: https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware

View Slide

散播關鍵 - 內建 SMB 漏洞攻擊程式
 被利用的漏洞為 MS-17 010 漏
洞
 裡面包含多個 Windows SMB
(Server Message Block, 網路
檔案分享系統) 遠程執行程式
碼弱點
 SMB 是一種微軟的網路溝通
協定，主要目的是讓網路上的
機器可以共享電腦檔案跟資源

View Slide

 Windows 預設內建的功能，會開啟 port 445 做協定溝通

View Slide

 SMB 協定是
一個漏洞百出
的協定
 目前共112個
漏洞編號

View Slide

 使用兩個攻擊程式 EternalBlue 跟 Doublepulsar 進行感染的攻擊行為
◼ 順序: EthernalBlue (打塔) → Doublepulsar (負責指揮)
EthernalBlue
DoublePulsar
Do my command!
Yes Sir!

View Slide

 EternalBlue – 打塔 :
◼ 漏洞發生在Windows內的
SMB元件 “driver-srv.sys”中
◼ SrvOs2FeaListSizeToNt函
式對於強制參數轉換造成記
憶體能被 Pool Spray 的手法
進行攻擊
◼ 最終能利用 Pool Spray 將
Shellcode (惡意代碼) 寫入
記憶體中執行
http://roger6.blogspot.tw/2017/06/wannacry-analyze-2.html

View Slide

 Doublepulsar – 負責指揮 :
◼ 提供三種指令：
⚫ Ping: 檢查受害端是否後門友直入成功
⚫ Exec: 要求受害端執行指定的任意程式代碼
⚫ Uninstall: 反安裝後門
 Doublepulsar 會利用 Exec 在受害者電腦中植入惡意的 DLL

View Slide

神奇小子奇蹟阻止 WannaCry 全球肆虐
 代號為 MalwareTech 的研究員在分析
樣本時發現一個 Domain
www.iuqerfsodp9ifjaposdfjhgosurijfae
wrwergwea.com
 當時他不知道這是甚麼，但平常有註冊
Sinkhole 的習慣，所以就去把這個
Domain Sinkhole 了
 結果沒想到這個 Domain 是 WannCry
為了確認自己是否在 Sandbox 環境中
而測試的連線 Domain
 若是發現這個 Domain 沒有回應，他會
停止加密

View Slide

“
重點來了!
為什麼要特別拿這隻勒索軟體出來講呢?
(從一隻勒索軟體是要看甚麼世界資安趨勢阿?)

View Slide

WannaCry 背後的精采故事
 EthernalBlue 跟 DoublePulsar 這麼強，是攻擊者自己開發的工具嗎?
◼ NO! 他們是美國 NSA (National Security Agency) 開發的程式
◼ WHAT? 美國政府開發惡意攻擊程式? 他們要做甚麼?
◼ WHY? 既然是美國開發的，怎麼落到攻擊者手裡? 難道WannaCry是美國政
府的攻擊?

View Slide

從前從前…..
 有一個叫 Equation Group (方程式) 的網路間
諜組織
 2015 年 2 月被 Kaspersky 揭露
 Kaspersky 研究指出這群攻擊組織最早於
2001年開始活動
 主要進行進階持續性攻擊 (Advanced
Persistent Threat Attack)

View Slide

甚麼是進階持續性攻擊 ?
針對特定目標
有別於撒網式攻擊，APT
只針對有興趣的對象進
行攻擊
進階的手法
在某些APT中會出現
0day攻擊（實際上並
非所有APT都很進階）
長期的監控
不是一次性而是不間斷
的長期攻擊與監控
多見於網路間諜行動
尤其是國家級的攻擊行動
(Cyber War)

View Slide

Equation Group 很厲害嗎
 跟其他攻擊組織比起來，他的攻擊手法非常高明 (Kaspersky 覺得是目前發現最
高明的攻擊組織）
 擁有強大的軍火庫
◼ 有能力發覺 0day 漏洞 (零時差漏洞)
◼ 已知工具包含: EquationLaser、EquationDrug、DoubleFantasy、
TripleFantasy、Fanny 、 GrayFish
◼ 攻擊程式具有感染硬碟 firmware 的能力 (甚麼意思?)

View Slide

Equation Group 很厲害嗎?
 Equation Group 的攻擊程式 GrayFish 可以 Reprogram 多家熱門硬碟廠商的
firmware (將硬碟的OS重寫) → 史上第一
◼ 可以讓他們的後門程式就算硬碟整個格式化，或是作業系統重灌都不會被移
除 (超級 Persistence)
◼ 絕對偵測不到，所有掃毒程式只有辦法針對軟體層做掃描 (所有硬碟幾乎都
只有提供對 Firmware 寫入的方式而沒有提供對 Firmware 讀取的方式)
◼ 有能力在硬碟中產生一塊“看不見的”空間，把偷到的資料存到那裏面去 (變
魔術?)

View Slide

為什麼可以這麼厲害?
 要修改硬碟的Firmware 是極
度困難的事情，必須要了解那
些硬碟的實作細節，細節都是
非公開的資料
 如果是一家硬碟廠商就算了，
GrayFish 可以適用於多家硬
碟廠商 (WD, Samgsumg,
Mextor STM, Hitachi,
TOSHIBA, SEAG ATE..etc，幾
乎全包)
https://www.linuxpilot.com/nsa-linux

View Slide

為什麼可以這麼厲害?
 怎麼拿到這些資料的?
◼ 兩種可能:
⚫ 他們駭入所有這些硬碟產商取得他們的資料
⚫ 他們要求這些硬碟廠商提供他們資料 (誰有這麼大的威能?)
https://www.linuxpilot.com/nsa-linux

View Slide

他們做了甚麼?
 2009 在美國休士
頓攔截攔截郵寄
途中的光碟片，
並植入用於駭客
行為的惡意程式，
再寄給原收件單
位。
 打全世界!

View Slide

他們做了甚麼?
 卡巴分析每個月的攻擊目標可能多達2000個
 主要攻擊產業:
◼ 政府與外交單位
◼ 通訊產業
◼ 航太產業
◼ 能源產業
◼ 核能產業
◼ 石油產業
◼ 軍方
◼ 奈米科技產業
◼ 伊斯蘭教徒或學者
◼ 媒體
◼ 交通運輸業
◼ 金融產業
◼ 與密碼學技術相關的公司

View Slide

他們到底是誰?
 F-Secure 的研究員發現GR ayFish
的功能跟 2013 年 NSA 外洩的一
份文件 (NSA ANT Catalog) 中提
到的一個攻擊程式 (IR ATEMONK
非常相似)
 The Equation Group 程式函式庫
中不小心洩露的關鍵字 “Grok “，
這是也是在2013 年外洩文件中的
外掛鍵盤側錄程式。

View Slide

他們到底是誰?
 研究員分析惡意程式製作時間發現駭客的工作時間與上班族相同 (攻擊別人是
他們的工作?)

View Slide

他們到底是誰?
 攻擊程式和 Stuxnet 與 Flame 有相似處，這
兩個惡意程式都被認為跟美國政府有關
 攻擊對象皆為與國家利益有關的單位，尤其
對中東、中國、和俄國特別有興趣
 這些攻擊程式的製作成本相當高，表示這個
組織一定擁有非常豐富的資源

View Slide

“
故事接著繼續

View Slide

很強的 Equation Group 居然被駭了???
 2016 年 8 月, 一個名為
The Shadow Broker
的網路攻擊組織在
Twitter 及其他社群網
站上公開宣稱他們駭
了 Equation Group，
並偷取了他們的攻擊
程式

View Slide

 他們公開拍賣這些工具，並
要價 100 萬比特幣 (約 5 億
6,800 萬美元)
 為了讓大家相信他們真的是
有 Equation Group 的工具,
他們還先公開了一些工具程
式 (實際上免費跟拍賣的都公
開了，但只提供免費的解壓
密碼)

View Slide

 一公開不得了，工具
居然包含 CISCO 與
Fortinet 防火牆產品的
兩個 0day 漏洞利用工
具

View Slide

 從免費的外洩工具看起來，
除了命名方式跟 NSA 相同
外，使用的手法也很相似
 現在大家都相信了，但價格
實在是太高，所以據稱沒有
人下手
 2016 年 10月, 為了促進買
氣, The Shadow Broker 再
次公開 Equation Group 的
中繼站資料

View Slide

 可是因為實在太貴，最後還是沒人
買
 2016 年 12 月，丟出一包資料單賣
 2016 年 1 月，給出工具包
Screenshot 促銷買氣
 2017 年 4 月 8 日，在社群網站公開
信大罵川普，然後公開了之前本來
要拍賣的資料密碼 (這其中的關聯
是?)
 這包資料主要包含的是 Linux/Unix
系統漏洞工具

View Slide

 2017 年 4 月 17，在Twitter 上公開了一包
資料
 被公認是目前為止最重要的外洩內容
 此包內容出現大量針對 Windows 的
Exploit 工具 (漏洞利用工具) 跟 Payload
(攻擊程式)
 受影響範圍從古董到 windows 8

View Slide

View Slide

在這些事情發生的時候同時又發生了甚麼事?
2017-04-14
2017-01-08
2017-02-14
2017-03-14 2017-05-12

View Slide

那 The Shadow Broker 對於此事有甚麼感想?
 我們很善良都沒有勒索你而是跟你
賣東西~
 我們是故意在 1 月先給微軟看到畫
面，讓他們趕快出 Patch 修補的
 那些國家的情報單位，叫你們買不
買，如果你們當初有跟我們買東西，
就可以早點阻止這一切發生了啊!
 現在開始我們要推出每個月的訂閱
服務，只要訂閱我們的服務，每個
月你就可以收到最新的 NSA
Equation Group 工具喔!

View Slide

“
你以為故事就這樣結束了嗎?
還沒有

View Slide

WannaCry 到底哪來的?
 Google 資安研究員率先發現，WannaCry 的程式碼中，有與 Contopee 惡意程
式相同的片段
 Contopee 在研究中被認為是屬於一群叫 Lazarus 攻擊組織所使用的攻擊程式
 那 Lazarus 又是誰?

View Slide

Lazarus Group – 被認為是北韓的網路間諜組織
 最早的行動被發現於 2009 年的
Operation Troy 行動，對南韓進行
DDOS 攻擊
 2013 年對南韓銀行以及電視台進
行大規模攻擊，韓國前三大銀行
與電視台遭受攻擊同步癱瘓，南
韓境內四萬八千多台 ATM 故障，
造成南韓股市大跌
 2014 年攻擊 Sony Picture
Entertainment 報復電影”刺殺金正
恩”
 2016 年攻擊金融交換SWIFT系統，
盜領 8 千多萬美元

View Slide

WannaCry 跟北韓的關聯證據
 弱關聯:
◼ WannaCry 跟 Lazarus 的惡意程式都使用了同一套壓縮工具
◼ 在 VirusTotal 上，有上傳者同時上傳了 Lazarus 的後門程式跟 WannaCry

View Slide

 中度關聯:
◼ WannaCry 跟 Lazarus 的惡
意程式 (C ontopees, Joanap,
Duuzer and Brambul) 被發
現有相似或相同的程式碼片
段

View Slide

 強度關聯:
◼ Symantec 在調查中發現，有一個受害者的環境中，Lazarus的攻擊程式
Alphanc 直接丟出了 WannaCry 的程式 (而我的研究確認了 Alpahnc 跟
Lazarus 的關係)
◼ Lazarus 的一隻惡意程式 Bravonc 和 WannaCry 連接到了同一個 Tor 中繼
站 domain. (sw7xmbms2ivmt5og.onion)
◼ Bravonc 和 WannaCry 都連到了同一個之前被 Lazarus 使用在攻擊 Sony
Picture 時使用的中繼站. (87.101.243.252)

View Slide

WannaCry 真的是北韓做的攻擊嗎?
 目前還是有些研究員會表示無法肯定
 個人的研究認為的確是北韓 (看證據說話)
 有興趣可以參考:
◼ 2017年 8月發表的研究 A Deep Dive into the Digital Weapons of the North
- HITB GSEC

View Slide

這代表甚麼 ?
 第一次看見國家攻擊組織所發起的勒索軟體攻擊行動
 可能原因:
◼ 北韓積極發展核武，非常需要資金
◼ 在美國對北韓的制裁下造成北韓資金短缺
 這不是單一事件:
◼ 觀察發現，北韓從2016年起開始非常積極地進行以金錢為目的的攻擊行動
◼ 未來可能會有更多類似攻擊
 未來會有更多國家支持的勒索軟體攻擊?

View Slide

有興趣可以看看回去追追這個故事 ☺

View Slide

怎麼預防被 WannaCry 感染?
 詳見：【速報】WanaCrypt0r Ransomware 緊急快問快答

View Slide

“
怎麼美國跟北韓都在偷偷打其他國家呀?

View Slide

第三次世界大戰?

View Slide

你以為只有北韓跟美國嗎?

View Slide

俄國網路間諜組織 APT28, APT29 攻擊美國大選?
 2016/06/14 美國媒體報導民主黨 (Democratic
National Committee, DNC ) 被入侵，Email 被偷
取，調查關連到 APT 28 及 APT 29 攻擊族群
 隔天一個自稱為 Guccifer 2.0 的駭客，在Blog上
聲稱是他黑了 DNC ，才不是甚麼俄國政府，還公
開了一份民主黨當時希拉蕊陣營研究對手川普的
報告，並把其他郵件資料給了 Wikileaks，
Wikileaks 在兩天後公開這些資料
 接下來的幾天各家資安相關廠商(Crowdstrike,
Dell Secureworks, ThreatConnet, Fidelis Cyber
security..etc) 陸續跳出來表示他們的研究顯示的
確是俄國攻擊組織

View Slide

俄國網路間諜組織 APT28, APT29 攻擊美國大選?
 資安廠商普遍認為，Guccifer 2.0 是俄國製造出
的假身分，用來轉移焦點，背黑鍋
 一個月後，川普被共和黨正式提名，Wikileaks 又
將 DNC 內部 19000 多封的信件公開
 這些信件揭露了民主黨高層蓄意破壞希拉蕊黨內
對手桑德斯的競選活動，導正民主黨委員會主席
Debbie Wasserman Schultz 在資料公開後請辭
 此事件造成民主黨選民分裂，原本支持民主黨桑
德斯的選民不願意支持希拉蕊
 此事件影響大嗎? 美國史上第一次被外國勢力透
過網路攻擊干擾的總統選舉

View Slide

這些駭客真的是國家成立的網軍?
 2013 年美國 Mandiant APT 1 報告以一篇 74 頁的
公開報告公開指出代號 61398 的中國的解放軍部
隊長年以來透過網路攻擊行動竊取美國政府機密
 報告不只能明確指出是哪個部隊，更明確指出部
隊是哪個單位底下，位於上海哪個地址的位置
 不只如此，報告還能清楚地列出進行攻擊的人員
身分，連照片都清楚列出

View Slide

這些駭客真的是國家成立的網軍?
 2014 年，美國政府 FBI 正式對 APT1 報告中
列出的主要嫌犯提出通緝
 此舉等於美國公開向中國表達不滿，指控中
國對美國進行網路間諜行動
 2015 年美中籤簽署史上首個網路軍控協議

View Slide

第三次世界大戰已經開打 – Cyber War

View Slide

“
你準備好了嗎 ?

View Slide

3.
這個故事告訴我們
What does this story tell us?

View Slide

War
Before Now

View Slide

全球資安人才荒

View Slide

你可以從哪裡開始
 大學課程
◼ AIS3
◼ 亥課書院
 自學
◼ 書籍 (太多了，有特定目標的可以找我問)
◼ 線上資源 (Plurasight, 看雪論壇..etc)
 社群
◼ HITC ON (Hacks in Taiwan Confernece)
◼ HITC ON GIR LS
◼ TDOH
◼ UCCU
◼ Chroot
◼ HST

View Slide

4.
聽過 WannaCry 但沒看過 WannaCry?
Never seen WannaCry
before?

View Slide

WannaCry 檔案
 4 個執行檔
Dropper

View Slide

Mssecsvc.exe 程式起始點
 Kill-switch domain

View Slide

 Kill Switch檢查通過後，
Wannacry會在Windows
裡創建名為
「mssecsvc2.0」的服
務
 描述是「Microsoft
Security Center (2.0)
Service」並設定為開機
後啟動，以便受害者重
開機後繼續感染
 同時也啟動該服務開始
進行傳播行為

View Slide

 Persistence

View Slide

 註冊為服務後的Wannacry接著會把
Tasksche.exe解開並啟動他
繼續進行其他加密行為
 把自身註冊為Windows服務的Wannacry啟動
後
會執行真正的兩條感染執行緒
啟動執行緒後會讓自己沉睡一整天
讓這兩個執行緒盡情的工作

View Slide

 其中，InfectLAN這執行緒的
目標是感染與該電腦同網段
的PC
 他使用Windows API的
GetAdaptersInfo取得該網段
的IP資訊
 利用這些資訊生成一個覆蓋
整個區域網網路的table來攻
擊其他電腦

View Slide

 其中，InfectLAN這執行緒的
目標是感染與該電腦同網段
的PC
 他使用Windows API的
GetAdaptersInfo取得該網段
的IP資訊
 利用這些資訊生成一個覆蓋
整個區域網網路的table來攻
擊其他電腦
 InfectLAN 呼叫 StartInfect進
行攻擊的程式碼

View Slide

 InfectWAN則是
隨機生成IP，偵
測他們是否能連
接SMB，可以的
話就一樣呼叫
MS17_010Attack
加以攻擊

View Slide

準備payload
 在實際感染到其他受害者電腦並注入 DLL
前，Wannacry 會根據對方的平台準備
Payload
 在準備Payload之前，Wannacry 先呼叫
Windows API CryptoAcquireContext
 這API呼叫之後，Wannacry便初始化了加
密相關的API而讓Wannacry有了加密能力
 總之接著Wannacry開始組裝Payload
 Payload依平台分成兩種 x68的Payload大
小為16480、而 x64 的 Payload 大小為
51364
 在這段程式碼裡Wannacry 只取用Payload
的.rsrc section其後的部分來組裝成最後
要注入到受害者機器的檔案－
Launcher.dll

View Slide

準備payload
 儘管Payload的大小隨不同平台而不太一
樣，但他們的目的都是一樣的
 Payload的內容都是準備注入的DLL的啟
動函式－PlayG ame
 右圖是含有PlayG ame的Binary內容起始
處

View Slide

準備payload

View Slide

LAB
◼ LAB 1: 體驗被加密的感覺
◼ LAB 2: WannaCry 實際拆解

View Slide

THANKS!
Any Questions?
[email protected]

View Slide

對分析後門及漏洞有興趣
的童鞋，可以參考好文:
Wannacry病毒深度技術分析(一)－傳播篇
Wannacry病毒深度技術分析(二)－系統漏洞篇
Wannacry病毒深度技術分析(三)－漏洞利用篇
Wannacry病毒深度技術分析(四)－佈局篇
Wannacry病毒深度技術分析(五)－加密篇
Wannacry病毒深度技術分析(六)－勒索篇

View Slide

從 WanaCry 看世界資安趨勢

從 WanaCry 看世界資安趨勢

ashley920

More Decks by ashley920

Other Decks in Research

Featured

Transcript