朝鲜「恶意软件」家谱

2018 年 8 月 9 日 云头条

安全研究人员分析了来自与朝鲜有关联的威胁分子的恶意软件样本,结果发现了与早期来源不详的攻击活动所使用的工具有瓜葛。


这项研究为期数月,将各种攻击活动(从网络间谍活动到以牟利为动机的活动)联系了起来。研究人员分析的活动及攻击时间表如下图所示。


研究人员分析的恶意软件活动的时间表


其中大多数活动的矛头似乎指向了朝鲜两个臭名昭著的黑客团伙中的一个:Unit 180或Unit 121。


据迈克菲公司向IT外媒BleepingComputer透露的一份报告显示,Unit 180专注于通过黑客手段为朝鲜牟利,Unit 121则以民族主义大旗为幌子,包括为其他组织提供工具和恶意软件、监视其他国家以及破坏他国的行动和军事目标。


在寻找归咎于朝鲜的样本中的代码相似之处时,迈克菲和Intezer的安全专家发现了2009年到2017年使用的工具中共享的独特代码。他们制作了一张地图,基于不同攻击活动重复使用的代码,列出了多个恶意软件系列之间的关系。


恶意软件代码的相似之处


DarkSeoul(2012年)、“重磅炸弹行动”(2014年索尼影业攻击)、NukeSpeed后门、特洛伊行动(2009年至2013年的军事间谍活动)之间似乎存在着密切的联系。这些联系之前已在一个联盟撰写的一份报告中予以披露,该联盟由多家安全公司组成,它们调查了对索尼影业攻击负责的Lazarus组织的活动。


该地图还将去年5月肆虐全球的WannaCry勒索软件与Jaku联系起来,Jaku这种工具用于有针对性的跟踪和数据泄露,伪装成僵尸网络恶意软件来运行。


使用Intezer的代码分析引擎,该引擎可将代码分解成很小的“基因”,然后这些小代码可以用来将一个样本的“DNA”与其他恶意软件样本进行比较。报告表明,从2009年到2017年的诸多恶意软件使用了一个共同的SMB模块。


研究人员在报告中写道:“第一个代码示例出现在2017年WannaCry的服务器消息块(SMB)模块、2009年的Mydoom以及Joanap和DeltaAlfa。这些恶意软件系列进一步共享的代码是来自CodeProject的AES库。这些攻击已归咎于Lazarus;这意味着该黑客组织至少在2009年至2017年重复使用了代码。”


Intezer代码分析


在另一个例子中,研究人员注意到2013年披露的Operation Troy活动与一年后披露的Darkhotel活动之间存在代码重叠。两者都是网络间谍活动,前者侧重于军事间谍活动,而后者针对众多垂直行业的公司的重要人物。


真相进一步被披露,表明了代码DNA在用于专门攻击韩国制造业的后门、“重磅炸弹行动”和引起严重破坏的WannaCry版本所使用的实用程序中有很大的百分比。这些相似之处也为更准确地描述Lazarus组织的运作规模奠定了基础。一些联系比其他联系来得弱,但建立联系只考虑了独特的代码,忽视了通用的代码和库。


如果说无可否认的证据表明即使对其中一个恶意软件系列或黑客工具来说也与朝鲜有联系,那么代码DNA暴露了不法分子的整个武器库,或至少暴露了其武器库的很大一部分。像这样的工作肯定有助于跟踪对手的演变过程。


登录查看更多
0

相关内容

软件(中国大陆及香港用语,台湾作软体,英文:Software)是一系列按照特定顺序组织的计算机数据和指令的集合。一般来讲软件被划分为编程语言、系统软件、应用软件和介于这两者之间的中间件。软件就是程序加文档的集合体。
最新版本开源情报工具和资源手册(一)
黑白之道
9+阅读 · 2019年6月23日
自动驾驶仿真软件列表
智能交通技术
13+阅读 · 2019年5月9日
特斯拉首席设计师150页PPT详解其全自动驾驶芯片
智能交通技术
14+阅读 · 2019年5月1日
IPSec | IKE密钥交换原理
计算机与网络安全
18+阅读 · 2018年12月23日
15款免费预测分析软件!收藏好,别丢了!
七月在线实验室
10+阅读 · 2018年2月27日
噩耗再次传来!华为,挺住!
FinTech前哨
4+阅读 · 2018年2月4日
手把手教你安装深度学习软件环境(附代码)
数据派THU
4+阅读 · 2017年10月4日
安全牛发布《威胁情报市场指南》报告
安全牛
13+阅读 · 2017年7月10日
EfficientDet: Scalable and Efficient Object Detection
Arxiv
6+阅读 · 2019年11月20日
Arxiv
4+阅读 · 2018年10月5日
Arxiv
6+阅读 · 2018年7月12日
Arxiv
5+阅读 · 2018年5月16日
Arxiv
11+阅读 · 2018年4月8日
Arxiv
7+阅读 · 2018年3月19日
VIP会员
相关VIP内容
相关资讯
最新版本开源情报工具和资源手册(一)
黑白之道
9+阅读 · 2019年6月23日
自动驾驶仿真软件列表
智能交通技术
13+阅读 · 2019年5月9日
特斯拉首席设计师150页PPT详解其全自动驾驶芯片
智能交通技术
14+阅读 · 2019年5月1日
IPSec | IKE密钥交换原理
计算机与网络安全
18+阅读 · 2018年12月23日
15款免费预测分析软件!收藏好,别丢了!
七月在线实验室
10+阅读 · 2018年2月27日
噩耗再次传来!华为,挺住!
FinTech前哨
4+阅读 · 2018年2月4日
手把手教你安装深度学习软件环境(附代码)
数据派THU
4+阅读 · 2017年10月4日
安全牛发布《威胁情报市场指南》报告
安全牛
13+阅读 · 2017年7月10日
相关论文
EfficientDet: Scalable and Efficient Object Detection
Arxiv
6+阅读 · 2019年11月20日
Arxiv
4+阅读 · 2018年10月5日
Arxiv
6+阅读 · 2018年7月12日
Arxiv
5+阅读 · 2018年5月16日
Arxiv
11+阅读 · 2018年4月8日
Arxiv
7+阅读 · 2018年3月19日
Top
微信扫码咨询专知VIP会员