由于缺乏傳統(tǒng)情報(bào)來(lái)源的支持，可用于將Olympic Destroyer惡意軟件與特定威脅攻擊組織關(guān)聯(lián)的證據(jù)模糊不清，使得攻擊組織的身份難以確定。威脅攻擊組織有目的地使用了多個(gè)迷惑性特征，以此迷惑和誤導(dǎo)分析人員與研究人員。這種錯(cuò)誤的溯源可能被攻擊組織加以利用，通過(guò)公開(kāi)引用被迷惑的第三方所發(fā)布的錯(cuò)誤聲明，作為否認(rèn)指控的證據(jù)。溯源雖然一直是討論的熱點(diǎn)，但其難度非常大，而且尚未成為一門(mén)精準(zhǔn)的科學(xué)。而這必然會(huì)使人們對(duì)純粹基于軟件的溯源在未來(lái)的發(fā)展產(chǎn)生質(zhì)疑。

　　韓國(guó)平昌奧運(yùn)會(huì)在本月初遭到網(wǎng)絡(luò)攻擊的破壞。據(jù)報(bào)道，此次攻擊導(dǎo)致奧運(yùn)會(huì)網(wǎng)站中斷，觀眾無(wú)法打印奧運(yùn)會(huì)門(mén)票。由于現(xiàn)場(chǎng)記者無(wú)法使用WiFi，因此開(kāi)幕式的報(bào)道量也有所降低。2月12日，思科Talos發(fā)布了一篇博客，詳細(xì)說(shuō)明了惡意軟件Olympic Destroyer的功能，我們確信該惡意軟件被用于了此次攻擊。

　　引用了Olympic Destroyer的建議溯源的報(bào)道示例。

　　該惡意軟件并非憑空生成，此次事件也并非偶然發(fā)生，但誰(shuí)應(yīng)該為其負(fù)責(zé)呢？根據(jù)攻擊追溯到特定的惡意軟件編寫(xiě)者或威脅攻擊組織并非一門(mén)簡(jiǎn)單或精確的科學(xué)。為了識(shí)別相似性，我們?cè)诖诉^(guò)程中必須考慮、分析許多參數(shù)，并與之前的攻擊進(jìn)行對(duì)比。與任何犯罪行為一樣，犯罪分子也傾向于采用技術(shù)手段，往往會(huì)留下類(lèi)似于數(shù)字指紋一樣的痕跡，我們可以發(fā)現(xiàn)這些指紋，并用它們來(lái)確定其他相關(guān)的犯罪行為。

　　軟件工程的優(yōu)勢(shì)之一是能夠共享代碼，在別人編寫(xiě)的庫(kù)之上構(gòu)建應(yīng)用程序，并汲取其他軟件工程師的成功經(jīng)驗(yàn)和失敗教訓(xùn)。威脅攻擊組織也是如此。兩個(gè)不同的威脅攻擊組織可能會(huì)在其攻擊中使用同一來(lái)源的代碼，這意味著他們的攻擊會(huì)顯示相似性，盡管攻擊實(shí)際上是由不同的組織發(fā)起。有時(shí)，威脅攻擊組織可能會(huì)選擇包含來(lái)自另一個(gè)組織的特征，以挫敗分析人員，并誘導(dǎo)他們做出錯(cuò)誤的溯源。

　　在Olympic Destroyer案例中，證據(jù)是什么，關(guān)于溯源我們可以得出什么結(jié)論呢？

　　The Lazarus Group也被稱(chēng)為Group 77，是一個(gè)神秘的威脅攻擊組織，曾發(fā)起過(guò)大量攻擊。值得注意的是，The Lazarus Group的一個(gè)分支，被稱(chēng)為Bluenoroff組，對(duì)孟加拉國(guó)一家銀行的SWIFT基礎(chǔ)設(shè)施進(jìn)行了攻擊。

　　這兩個(gè)案例存在明顯的相似之處。盡管這一發(fā)現(xiàn)并不能說(shuō)明問(wèn)題，但這至少是一個(gè)線索。

　　BAE Systems同時(shí)又指出，Olympic Destroyer和與Bluenoroff相關(guān)的wiper惡意軟件之間也存在相似之處。在本例中，Bluenoroff wiper功能在左側(cè)，Olympic Destroyer wiper功能在右側(cè)：

　　顯然，代碼并不完全相同，但是僅擦除大文件的第一個(gè)0x1000字節(jié)這一非常特定的邏輯，在這兩個(gè)案例中完全相同且是獨(dú)一無(wú)二的。這是另一個(gè)線索，也是比文件名檢查更有力的證據(jù)。

　　但是，Bluenoroff使用的文件名和wiper功能均已記錄在案，并可被任何人利用。我們真正的罪魁禍?zhǔn)卓赡軙?huì)添加文件名稱(chēng)檢查，并模仿wiper功能，只是為了牽連The Lazarus Group，并潛在地掩護(hù)其真實(shí)身份。

　　23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b0

　　Bluenoroff樣本1：

　　ae086350239380f56470c19d6a200f7d251c7422c7bc5ce74730ee8bab8e6283

　　Bluenoroff樣本2：

　　5b7c970fee7ebe08d50665f278d47d0e34c04acc19a91838de6a3fc63a8e5630

　　Intezer Labs發(fā)現(xiàn)Olympic Destroyer與之前APT3和APT10的攻擊使用了相同的代碼。

　　Intezer Labs發(fā)現(xiàn)Olympic Destroyer與APT3使用的一種工具存在18.5%的相似度，用以從內(nèi)存中竊取證書(shū)。這可能是一個(gè)非常重要的線索。然而，APT3工具基于開(kāi)源工具M(jìn)imikatz。由于Mimikatz可供任何人下載，因此Olympic Destroyer的作者完全有可能在其惡意軟件中使用來(lái)自Mimikatz的代碼，以將線索指向其他使用過(guò)該工具的惡意軟件作者。

　　Intezer Labs還發(fā)現(xiàn)Olympic Destroyer和APT10之間用于生成AES密鑰的功能存在相似之處。根據(jù)Intezer Labs的調(diào)查，這一特殊功能僅被APT10使用過(guò)。這也許是惡意軟件作者疏忽的一個(gè)非常重要的線索，可用來(lái)判斷其身份。

　　2017年6月的Nyetya（NotPetya）惡意軟件同樣也使用了衍生自Mimikatz的代碼，用于竊取證書(shū)。此外，與Nyetya一樣，Olympic Destroyer也通過(guò)濫用PsExec和WMI的合法功能橫向傳播。像Nyetya一樣，Olympic Destroyer使用命名管道將偷來(lái)的證書(shū)發(fā)送到主模塊。

　　與Nyetya不同的是，Olympic Destroyer沒(méi)有利用漏洞EternalBlue和EternalRomance進(jìn)行傳播。但是，該攻擊組織已經(jīng)在Olympic Destroyer源代碼內(nèi)留下了偽裝，以暗示SMB漏洞的存在。

　　Olympic Destroyer在執(zhí)行時(shí)，會(huì)在運(yùn)行過(guò)程中加載這些結(jié)構(gòu)，但未進(jìn)行使用。顯然，作者知道EternalBlue PoC，但這些結(jié)構(gòu)存在的原因很模糊。很可能作者想給安全分析人員設(shè)一個(gè)陷阱，以挑起一個(gè)錯(cuò)誤的肯定溯源�；蛘撸�我們可以看到功能的痕跡，但無(wú)法證明被用于了惡意軟件。

　　溯源挑戰(zhàn)重重。很少有分析人員能提供出可支持法庭做出判決的證據(jù)。許多人很快就會(huì)得出結(jié)論，并將Olympic Destroyer判定為特定的群體。然而，這種指責(zé)的基礎(chǔ)往往很薄弱�，F(xiàn)在我們可能會(huì)看到惡意軟件作者放置了多個(gè)虛假標(biāo)志，這使得僅基于惡意軟件樣本的溯源變得撲朔迷離。

　　對(duì)于威脅攻擊組織，我們無(wú)法獲得確鑿的證據(jù)指證犯罪方。其他安全分析人員和調(diào)查機(jī)構(gòu)可能有進(jìn)一步的證據(jù)，但我們無(wú)法訪問(wèn)。即使有的組織擁有更多證據(jù)，例如信號(hào)情報(bào)或可能為溯源提供重要線索的人員情報(bào)來(lái)源，但他們可能不愿意分享其洞察，以免背叛其情報(bào)收集行動(dòng)的性質(zhì)。

　　我們認(rèn)為Olympic Destroyer攻擊顯然是一種大膽的攻擊，幾乎可以肯定是由一個(gè)具有一定水平的威脅攻擊組織發(fā)起的，他們不相信自己會(huì)很容易被發(fā)現(xiàn)并被追究責(zé)任。

　　我們相信威脅攻擊組織之間很可能會(huì)共享代碼。開(kāi)源工具是功能的有用來(lái)源。通過(guò)借鑒其他組織成功發(fā)起的攻擊，并使用其中的技術(shù)，將會(huì)給分析人員提供錯(cuò)誤的證據(jù)，導(dǎo)致他們做出錯(cuò)誤的溯源。

　　同樣，我們預(yù)計(jì)高級(jí)威脅攻擊組織將會(huì)充分利用這一點(diǎn)，整合旨在欺騙分析人員的證據(jù)，以導(dǎo)致分析人員錯(cuò)誤地將攻擊歸因于其他組織。威脅攻擊者可能會(huì)一邊讀著安全分析人員發(fā)布的錯(cuò)誤信息，一邊暗自竊喜。極端情況下，國(guó)家也可以利用被迷惑的第三方由于錯(cuò)誤溯源發(fā)布的證據(jù)，否認(rèn)攻擊指控。每一次的錯(cuò)誤溯源，都會(huì)讓攻擊組織隱藏起來(lái)。在這個(gè)虛假新聞高發(fā)的時(shí)代，溯源是一個(gè)高度敏感的問(wèn)題。

　　隨著威脅攻擊組織不斷完善他們的技能和技術(shù)，我們很可能會(huì)看到威脅攻擊組織進(jìn)一步采用各種手段來(lái)混淆溯源，讓溯源變得更加錯(cuò)綜復(fù)雜。溯源絕非易事，而在未來(lái)這只會(huì)難上加難。

　　思科Talos團(tuán)隊(duì)由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專(zhuān)家組成，他們分析評(píng)估黑客活動(dòng)、入侵企圖、惡意軟件以及漏洞的最新趨勢(shì)。ClamAV團(tuán)隊(duì)和一些標(biāo)準(zhǔn)的安全工具書(shū)的作者中最知名的安全專(zhuān)家，都是思科Talos的成員。該團(tuán)隊(duì)的專(zhuān)長(zhǎng)涵蓋軟件開(kāi)發(fā)、逆向工程、漏洞分析、惡意軟件的調(diào)查和情報(bào)收集等。思科Talos團(tuán)隊(duì)同時(shí)也負(fù)責(zé)維護(hù)Snort.org，ClamAV，SenderBase.org和SpamCop中的官方規(guī)則集，同時(shí)得到了社區(qū)的龐大資源支持，使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)。思科Talos作為思科安全情報(bào)的主要發(fā)掘提供團(tuán)隊(duì)，為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持，幫助思科的安全解決方案阻擋最新最復(fù)雜的攻擊。