欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當(dāng)前的位置是:  首頁(yè) > 新聞 > 文章精選 >
 首頁(yè) > 新聞 > 文章精選 >

誰(shuí)需要為Olympic Destroyer負(fù)責(zé)

2018-03-12 14:09:49   作者:Paul Rascagneres Martin Lee   來(lái)源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  摘要
  由于缺乏傳統(tǒng)情報(bào)來(lái)源的支持,可用于將Olympic Destroyer惡意軟件與特定威脅攻擊組織關(guān)聯(lián)的證據(jù)模糊不清,使得攻擊組織的身份難以確定。威脅攻擊組織有目的地使用了多個(gè)迷惑性特征,以此迷惑和誤導(dǎo)分析人員與研究人員。這種錯(cuò)誤的溯源可能被攻擊組織加以利用,通過(guò)公開(kāi)引用被迷惑的第三方所發(fā)布的錯(cuò)誤聲明,作為否認(rèn)指控的證據(jù)。溯源雖然一直是討論的熱點(diǎn),但其難度非常大,而且尚未成為一門(mén)精準(zhǔn)的科學(xué)。而這必然會(huì)使人們對(duì)純粹基于軟件的溯源在未來(lái)的發(fā)展產(chǎn)生質(zhì)疑。
  介紹
  韓國(guó)平昌奧運(yùn)會(huì)在本月初遭到網(wǎng)絡(luò)攻擊的破壞。據(jù)報(bào)道,此次攻擊導(dǎo)致奧運(yùn)會(huì)網(wǎng)站中斷,觀眾無(wú)法打印奧運(yùn)會(huì)門(mén)票。由于現(xiàn)場(chǎng)記者無(wú)法使用WiFi,因此開(kāi)幕式的報(bào)道量也有所降低。2月12日,思科Talos發(fā)布了一篇博客,詳細(xì)說(shuō)明了惡意軟件Olympic Destroyer的功能,我們確信該惡意軟件被用于了此次攻擊。
  引用了Olympic Destroyer的建議溯源的報(bào)道示例。
  該惡意軟件并非憑空生成,此次事件也并非偶然發(fā)生,但誰(shuí)應(yīng)該為其負(fù)責(zé)呢?根據(jù)攻擊追溯到特定的惡意軟件編寫(xiě)者或威脅攻擊組織并非一門(mén)簡(jiǎn)單或精確的科學(xué)。為了識(shí)別相似性,我們?cè)诖诉^(guò)程中必須考慮、分析許多參數(shù),并與之前的攻擊進(jìn)行對(duì)比。與任何犯罪行為一樣,犯罪分子也傾向于采用技術(shù)手段,往往會(huì)留下類(lèi)似于數(shù)字指紋一樣的痕跡,我們可以發(fā)現(xiàn)這些指紋,并用它們來(lái)確定其他相關(guān)的犯罪行為。
  在網(wǎng)絡(luò)安全事件領(lǐng)域,分析人員會(huì)尋找溯源所需的相似性,例如:
  • 戰(zhàn)術(shù)、技術(shù)和程序(TTP)(攻擊者如何進(jìn)行攻擊)
  • 受害者學(xué)(受害者的特征)
  • 基礎(chǔ)設(shè)施(作為攻擊工具之一的平臺(tái))
  • 感染指標(biāo)(IOC)(攻擊期間留下的可識(shí)別的人為痕跡)
  • 惡意軟件樣本(作為攻擊工具之一的惡意軟件)
  軟件工程的優(yōu)勢(shì)之一是能夠共享代碼,在別人編寫(xiě)的庫(kù)之上構(gòu)建應(yīng)用程序,并汲取其他軟件工程師的成功經(jīng)驗(yàn)和失敗教訓(xùn)。威脅攻擊組織也是如此。兩個(gè)不同的威脅攻擊組織可能會(huì)在其攻擊中使用同一來(lái)源的代碼,這意味著他們的攻擊會(huì)顯示相似性,盡管攻擊實(shí)際上是由不同的組織發(fā)起。有時(shí),威脅攻擊組織可能會(huì)選擇包含來(lái)自另一個(gè)組織的特征,以挫敗分析人員,并誘導(dǎo)他們做出錯(cuò)誤的溯源。
  在Olympic Destroyer案例中,證據(jù)是什么,關(guān)于溯源我們可以得出什么結(jié)論呢?
  OLYMPIC DESTROYER系列疑點(diǎn)
  The Lazarus Group
  The Lazarus Group也被稱為Group 77,是一個(gè)神秘的威脅攻擊組織,曾發(fā)起過(guò)大量攻擊。值得注意的是,The Lazarus Group的一個(gè)分支,被稱為Bluenoroff組,對(duì)孟加拉國(guó)一家銀行的SWIFT基礎(chǔ)設(shè)施進(jìn)行了攻擊。
  • BAE Systems指出,SWIFT惡意軟件中使用了如下的文件命名規(guī)則:evtdiag.exe、evtsys.exe和evtchk.bat。
  • Olympic Destroyer惡意軟件會(huì)檢查是否存在以下文件:%programdata%\evtchk.txt。
  這兩個(gè)案例存在明顯的相似之處。盡管這一發(fā)現(xiàn)并不能說(shuō)明問(wèn)題,但這至少是一個(gè)線索。
  BAE Systems同時(shí)又指出,Olympic Destroyer和與Bluenoroff相關(guān)的wiper惡意軟件之間也存在相似之處。在本例中,Bluenoroff wiper功能在左側(cè),Olympic Destroyer wiper功能在右側(cè):
  顯然,代碼并不完全相同,但是僅擦除大文件的第一個(gè)0x1000字節(jié)這一非常特定的邏輯,在這兩個(gè)案例中完全相同且是獨(dú)一無(wú)二的。這是另一個(gè)線索,也是比文件名檢查更有力的證據(jù)。
  但是,Bluenoroff使用的文件名和wiper功能均已記錄在案,并可被任何人利用。我們真正的罪魁禍?zhǔn)卓赡軙?huì)添加文件名稱檢查,并模仿wiper功能,只是為了牽連The Lazarus Group,并潛在地掩護(hù)其真實(shí)身份。
  Olympic Destroyer樣本:
  23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b0
  Bluenoroff樣本1:
  ae086350239380f56470c19d6a200f7d251c7422c7bc5ce74730ee8bab8e6283
  Bluenoroff樣本2:
  5b7c970fee7ebe08d50665f278d47d0e34c04acc19a91838de6a3fc63a8e5630
  APT3和APT10
  Intezer Labs發(fā)現(xiàn)Olympic Destroyer與之前APT3和APT10的攻擊使用了相同的代碼。
  Intezer Labs發(fā)現(xiàn)Olympic Destroyer與APT3使用的一種工具存在18.5%的相似度,用以從內(nèi)存中竊取證書(shū)。這可能是一個(gè)非常重要的線索。然而,APT3工具基于開(kāi)源工具M(jìn)imikatz。由于Mimikatz可供任何人下載,因此Olympic Destroyer的作者完全有可能在其惡意軟件中使用來(lái)自Mimikatz的代碼,以將線索指向其他使用過(guò)該工具的惡意軟件作者。
  Intezer Labs還發(fā)現(xiàn)Olympic Destroyer和APT10之間用于生成AES密鑰的功能存在相似之處。根據(jù)Intezer Labs的調(diào)查,這一特殊功能僅被APT10使用過(guò)。這也許是惡意軟件作者疏忽的一個(gè)非常重要的線索,可用來(lái)判斷其身份。
  Nyetya
  2017年6月的Nyetya(NotPetya)惡意軟件同樣也使用了衍生自Mimikatz的代碼,用于竊取證書(shū)。此外,與Nyetya一樣,Olympic Destroyer也通過(guò)濫用PsExec和WMI的合法功能橫向傳播。像Nyetya一樣,Olympic Destroyer使用命名管道將偷來(lái)的證書(shū)發(fā)送到主模塊。
  與Nyetya不同的是,Olympic Destroyer沒(méi)有利用漏洞EternalBlue和EternalRomance進(jìn)行傳播。但是,該攻擊組織已經(jīng)在Olympic Destroyer源代碼內(nèi)留下了偽裝,以暗示SMB漏洞的存在。
  Olympic Destroyer包括這四種結(jié)構(gòu)的定義:
  這四種結(jié)構(gòu)也包含在公開(kāi)的EternalBlue概念驗(yàn)證中:
  Olympic Destroyer在執(zhí)行時(shí),會(huì)在運(yùn)行過(guò)程中加載這些結(jié)構(gòu),但未進(jìn)行使用。顯然,作者知道EternalBlue PoC,但這些結(jié)構(gòu)存在的原因很模糊。很可能作者想給安全分析人員設(shè)一個(gè)陷阱,以挑起一個(gè)錯(cuò)誤的肯定溯源;蛘,我們可以看到功能的痕跡,但無(wú)法證明被用于了惡意軟件。
  結(jié)論
  溯源挑戰(zhàn)重重。很少有分析人員能提供出可支持法庭做出判決的證據(jù)。許多人很快就會(huì)得出結(jié)論,并將Olympic Destroyer判定為特定的群體。然而,這種指責(zé)的基礎(chǔ)往往很薄弱。現(xiàn)在我們可能會(huì)看到惡意軟件作者放置了多個(gè)虛假標(biāo)志,這使得僅基于惡意軟件樣本的溯源變得撲朔迷離。
  對(duì)于威脅攻擊組織,我們無(wú)法獲得確鑿的證據(jù)指證犯罪方。其他安全分析人員和調(diào)查機(jī)構(gòu)可能有進(jìn)一步的證據(jù),但我們無(wú)法訪問(wèn)。即使有的組織擁有更多證據(jù),例如信號(hào)情報(bào)或可能為溯源提供重要線索的人員情報(bào)來(lái)源,但他們可能不愿意分享其洞察,以免背叛其情報(bào)收集行動(dòng)的性質(zhì)。
  我們認(rèn)為Olympic Destroyer攻擊顯然是一種大膽的攻擊,幾乎可以肯定是由一個(gè)具有一定水平的威脅攻擊組織發(fā)起的,他們不相信自己會(huì)很容易被發(fā)現(xiàn)并被追究責(zé)任。
  我們相信威脅攻擊組織之間很可能會(huì)共享代碼。開(kāi)源工具是功能的有用來(lái)源。通過(guò)借鑒其他組織成功發(fā)起的攻擊,并使用其中的技術(shù),將會(huì)給分析人員提供錯(cuò)誤的證據(jù),導(dǎo)致他們做出錯(cuò)誤的溯源。
  同樣,我們預(yù)計(jì)高級(jí)威脅攻擊組織將會(huì)充分利用這一點(diǎn),整合旨在欺騙分析人員的證據(jù),以導(dǎo)致分析人員錯(cuò)誤地將攻擊歸因于其他組織。威脅攻擊者可能會(huì)一邊讀著安全分析人員發(fā)布的錯(cuò)誤信息,一邊暗自竊喜。極端情況下,國(guó)家也可以利用被迷惑的第三方由于錯(cuò)誤溯源發(fā)布的證據(jù),否認(rèn)攻擊指控。每一次的錯(cuò)誤溯源,都會(huì)讓攻擊組織隱藏起來(lái)。在這個(gè)虛假新聞高發(fā)的時(shí)代,溯源是一個(gè)高度敏感的問(wèn)題。
  隨著威脅攻擊組織不斷完善他們的技能和技術(shù),我們很可能會(huì)看到威脅攻擊組織進(jìn)一步采用各種手段來(lái)混淆溯源,讓溯源變得更加錯(cuò)綜復(fù)雜。溯源絕非易事,而在未來(lái)這只會(huì)難上加難。
  思科Talos團(tuán)隊(duì)介紹
  思科Talos團(tuán)隊(duì)由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專(zhuān)家組成,他們分析評(píng)估黑客活動(dòng)、入侵企圖、惡意軟件以及漏洞的最新趨勢(shì)。ClamAV團(tuán)隊(duì)和一些標(biāo)準(zhǔn)的安全工具書(shū)的作者中最知名的安全專(zhuān)家,都是思科Talos的成員。該團(tuán)隊(duì)的專(zhuān)長(zhǎng)涵蓋軟件開(kāi)發(fā)、逆向工程、漏洞分析、惡意軟件的調(diào)查和情報(bào)收集等。思科Talos團(tuán)隊(duì)同時(shí)也負(fù)責(zé)維護(hù)Snort.org,ClamAV,SenderBase.org和SpamCop中的官方規(guī)則集,同時(shí)得到了社區(qū)的龐大資源支持,使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)。思科Talos作為思科安全情報(bào)的主要發(fā)掘提供團(tuán)隊(duì),為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持,幫助思科的安全解決方案阻擋最新最復(fù)雜的攻擊。
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無(wú)關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專(zhuān)題