几天前,一个关系揭露了一个名为“Lazarus”的职业黑客组织的存在,其活动至少可以追溯到 2007 年,并且可能与朝鲜有关。无论如何,这个组织被认定为 2014 年底针对索尼影视工作室的可怕黑客攻击的幕后黑手。因此,这份报告强化了联邦调查局的指控,该指控将矛头指向了朝鲜政府,并最终将其归结为否定当时流传的内部报复或黑客行动的理论。
除了结论之外,本次调查的资源和调查方法也很引人注目。事实上,这是一项持续一年多的巨大工作量,动员了来自 13 家不同公司的安全研究人员,包括 Novetta、卡巴斯基、Alienvault 和赛门铁克。
狩猎活动于2014年12月14日开始,当时美国证书发布针对索尼影业的攻击的妥协指标,即所使用的恶意软件的特定技术信息:文件名称和类型、恶意代码签名(哈希)、安装路径、编译日期、命令和控制(C&C ) 服务器地址、修改的注册表项、网络流量等。
Yara 规则对所有内容进行编目
所有内容都综合在一系列所谓的“Yara”签名中,这种方法允许根据可能在那里找到的字符串对恶意软件进行编目和检测。这些可以是文本或二进制,并构成可能泄露该恶意软件存在的线索。
研究人员根据这些技术信息查询不同的恶意软件数据库,例如 VirusTotal 或卡巴斯基反病毒软件的数据库。存储由受害者和调查人员发送的或由防病毒软件收集的恶意代码副本的数据库。
扫描了数十亿份副本,并将其与索尼影业的妥协指标进行了比较。通过逐步细化签名和 Yara 规则的定义,他们成功地将调查范围缩小到 2000 个文件,然后必须进行手动分析。真是辛苦了!
迄今为止,研究人员已成功剖析了 1000 个此类文件,揭示了超过 45 个恶意软件家族,所有这些恶意软件家族均来自 Lazarus 组织。其中一些被称为 Wild Positron/Duuzer、Destover 或 KillDisk 等其他名称,并在过去的网络攻击中使用过,例如 DarkSeoul,这是 2009 年至 2013 年间针对韩国媒体和金融机构的攻击活动。
为了能够将所有这些恶意软件联系在一起,研究人员确定了这些不同家族中发现的某些特征。一段复制代码、消除感染痕迹的方法(“自杀脚本”)、某些加密算法的使用、与 C&C 服务器通信的方式等。
例如,遇到的特殊情况之一是使用受密码保护的 ZIP 文件将恶意软件注入目标系统。他们都有相同的硬编码密码:“!1234567890 dghtdhtrhgfjnui$%^^&fdt”。
