幾天前,一個關係揭露了一個名為「Lazarus」的職業駭客組織的存在,其活動至少可以追溯到 2007 年,並且可能與北韓有關。無論如何,這個組織被認定為2014 年底針對索尼影視工作室的可怕黑客攻擊的幕後黑手。為否定當時流傳的內部報復或駭客行動的理論。
閱讀:俄羅斯對Android的網路攻擊:2種間諜病毒發動資料竊取
除了結論之外,本次調查的資源和調查方法也很引人注目。事實上,這是一項持續一年多的巨大工作量,動員了來自 13 家不同公司的安全研究人員,包括 Novetta、卡巴斯基、Alienvault 和賽門鐵克。
狩獵活動於2014年12月14日開始,當時美國證書發布針對索尼影業的攻擊的妥協指標,即所使用的惡意軟體的特定技術資訊:檔案名稱和類型、惡意程式碼簽章(雜湊)、安裝路徑、編譯日期、命令和控制(C&C ) 伺服器位址、修改的註冊表項、網路流量等。
Yara 規則對所有內容進行編目
所有內容都綜合在一系列所謂的“Yara”簽名中,這種方法允許根據可能在那裡找到的字串對惡意軟體進行編目和檢測。這些可以是文字或二進制,並構成可能洩露該惡意軟體存在的線索。
研究人員根據這些技術資訊查詢不同的惡意軟體資料庫,例如 VirusTotal 或卡巴斯基防毒軟體的資料庫。儲存由受害者和調查人員發送的或由防毒軟體收集的惡意程式碼副本的資料庫。
掃描了數十億份副本,並將其與索尼影業的妥協指標進行了比較。透過逐步細化簽名和 Yara 規則的定義,他們成功地將調查範圍縮小到 2000 個文件,然後必須進行手動分析。真是辛苦了!
迄今為止,研究人員已成功剖析了 1000 個此類文件,揭示了超過 45 個惡意軟體家族,所有這些惡意軟體家族均來自 Lazarus 組織。其中一些被稱為 Wild Positron/Duuzer、Destover 或 KillDisk 等其他名稱,並在過去的網路攻擊中使用過,例如 DarkSeoul,這是 2009 年至 2013 年間針對韓國媒體和金融機構的攻擊活動。
為了能夠將所有這些惡意軟體聯繫在一起,研究人員確定了這些不同家族中發現的某些特徵。一段複製程式碼、消除感染痕跡的方法(「自殺腳本」)、某些加密演算法的使用、與 C&C 伺服器通訊的方式等。
例如,遇到的特殊情況之一是使用受密碼保護的 ZIP 檔案將惡意軟體注入目標系統。他們都有相同的硬編碼密碼:「!1234567890 dghtdhtrhgfjnui$%^^&fdt」。
