朝鲜歹意软件家属干系一览 | 申博官网
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

朝鲜歹意软件家属干系一览

研讨人员剖析发明来自Lazarus、Silent Chollima、Group 123、Hidden Cobra、DarkSeoul、Blockbuster、Operation Troy、10 Days of Rain的进击都来自朝鲜。那末这些进击构造之间有无什么干系呢?这些进击构造与WannaCry又有什么干系呢?McAfee和Intezer研讨人员经由过程代码重用剖析了朝鲜歹意软件家属、进击运动和进击构造之间的干系。

代码重用

研讨人员在观察网络要挟时发明朝鲜发起了多个网络进击运动。在朝鲜,黑客的妙技决议了为哪一个网络进击构造工作。研讨人员发明朝鲜运动的两个关注点是挣钱和到达国度目标。第一批进击者会为国度网络款项,以至黑进金融机构、挟制赌钱会话、出卖盗版和破解的软件停止犯罪行为。Unit
180就是卖力应用黑客手艺来合法网络外币的构造。第二批进击者会从其他国度网络谍报、损坏友好国度和军事目标等到达国度目标,Unit
121就是如许的构造。

时间线

本文形貌了歹意软件样本和着名的进击运动的时间线。

朝鲜歹意软件家属干系一览 朝鲜歹意软件家属干系一览

图1: 歹意软件和进击运动的时间线

歹意软件家属干系图

研讨人员发明很多歹意软件家属名都与朝鲜网络运动相干。为了更好的明白这些进击者和进击运动之间的类似性,研讨人员运用了Intezer的代码类似性检测引擎勾画出少量歹意软件家属之间的干系。

下图是这些干系的概览图,每一个节点透露表现一个歹意软件家属或进击中运用的歹意对象,每条边透露表现两个歹意软件家属之间的代码类似性。边的粗细透露表现代码之间的类似度。界说类似度时只斟酌独一的代码联络,不斟酌罕见的代码和库。

朝鲜歹意软件家属干系一览 朝鲜歹意软件家属干系一览

图2: 朝鲜歹意软件家属之间的代码类似度概览图

图中能够看出险些一切的歹意软件家属之间都存在少量的代码类似,研讨中的样本大都是未分类的。上图只运用了几百个样本,以是全图中的干系能够越发庞杂。

剖析

研讨人员在研讨中发明了之前没发明的一些代码类似的状况。经由剖析以后,研讨人员对其停止了联系关系。以SMB模块为例:

代码样本出现在WannaCry(2017)、Mydoom(2009)、Joanap和DeltaAlfa的SMB(server
message
block,服务器音讯块)模块中。这些歹意软件家属同享的代码另有CodeProject项目标AES库。这些进击终究对归结于Lazarus构造,也就是说该构造最少从2009到2017年都在重用代码。

———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

———————————————-

朝鲜歹意软件家属干系一览 朝鲜歹意软件家属干系一览

图3: Mydoom样本的代码堆叠

上面是进击中罕见的SMB模块代码块,有别于WannaCry 和Mydoom。

朝鲜歹意软件家属干系一览 朝鲜歹意软件家属干系一览

图4: 进击中罕见的SMB模块

研讨人员对照剖析了WannaCry的三个重要变种,2017年2月和4月的beta版和5月的版本;能够得出上面的效果:

朝鲜歹意软件家属干系一览 朝鲜歹意软件家属干系一览

图5: WannaCry代码对照

辨认进击构造

经由过程对照和代码块辨认,研讨人员发明了歹意软件家属和进击构造之间的干系。

朝鲜歹意软件家属干系一览 朝鲜歹意软件家属干系一览

图6:经由过程代码重用剖析出的进击构造与歹意软件家属的干系

Lazarus构造的歹意软件的代码重用对照多,同时也是很多朝鲜网络运动名,从中能够看出分歧歹意软件家属和进击运动之间的干系。

歹意软件NavRAT、赌钱、Gold Dragon应该是Group 123建立的,这件软件之间相互联系关系,但与Lazarus运用的歹意软件是离开的。虽然是针对分歧地区的进击单位,他们看起来是一个协作的并行架构。

MITRE进击

从歹意软件样本的剖析中,能够辨认出他们运用的一些手艺:

朝鲜歹意软件家属干系一览 朝鲜歹意软件家属干系一览

本文翻译自:https://www.bleepingcomputer.com/news/security/a-first-look-at-the-north-korean-malware-family-tree/ https://securingtomorrow.mcafee.com/mcafee-labs/examining-code-reuse-reveals-undiscovered-links-among-north-koreas-malware-families/如若转载,请说明原文地点: http://www.4hou.com/web/13027.html


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明朝鲜歹意软件家属干系一览
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址