朝鲜恶意软件家族关系一览

ang010ela Web安全 2018年8月13日发布

导语:McAfee和Intezer研究人员通过代码重用分析了朝鲜恶意软件家族、攻击活动和攻击组织之间的关系。

研究人员分析发现来自Lazarus、Silent Chollima、Group 123、Hidden Cobra、DarkSeoul、Blockbuster、Operation Troy、10 Days of Rain的攻击都来自朝鲜。那么这些攻击组织之间有没有什么关系呢?这些攻击组织与WannaCry又有什么关系呢?McAfee和Intezer研究人员通过代码重用分析了朝鲜恶意软件家族、攻击活动和攻击组织之间的关系。

代码重用

研究人员在调查网络威胁时发现朝鲜发起了多个网络攻击活动。在朝鲜,黑客的技能决定了为哪个网络攻击组织工作。研究人员发现朝鲜活动的两个关注点是挣钱和达到国家目的。第一批攻击者会为国家收集金钱,甚至黑进金融机构、劫持赌博会话、出售盗版和破解的软件进行犯罪行为。Unit
180就是负责利用黑客技术来非法收集外币的组织。第二批攻击者会从其他国家收集情报、破坏敌对国家和军事目标等达到国家目的,Unit
121就是这样的组织。

时间线

本文描述了恶意软件样本和有名的攻击活动的时间线。

图1: 恶意软件和攻击活动的时间线

恶意软件家族关系图

研究人员发现许多恶意软件家族名都与朝鲜网络活动相关。为了更好的理解这些攻击者和攻击活动之间的相似性,研究人员使用了Intezer的代码相似性检测引擎勾画出大量恶意软件家族之间的关系。

下图是这些关系的概览图,每个节点表示一个恶意软件家族或攻击中使用的恶意工具,每条边表示两个恶意软件家族之间的代码相似性。边的粗细表示代码之间的相似度。定义相似度时只考虑唯一的代码联系,不考虑常见的代码和库。

图2: 朝鲜恶意软件家族之间的代码相似度概览图

图中可以看出几乎所有的恶意软件家族之间都存在大量的代码相似,研究中的样本大都是未分类的。上图只使用了几百个样本,所以全图中的关系可能更加复杂。

分析

研究人员在研究中发现了之前没发现的一些代码相似的情况。经过分析之后,研究人员对其进行了关联。以SMB模块为例:

代码样本出现在WannaCry(2017)、Mydoom(2009)、Joanap和DeltaAlfa的SMB(server
message
block,服务器消息块)模块中。这些恶意软件家族共享的代码还有CodeProject项目的AES库。这些攻击最终对归结于Lazarus组织,也就是说该组织至少从2009到2017年都在重用代码。

图3: Mydoom样本的代码重叠

下面是攻击中常见的SMB模块代码块,有别于WannaCry 和Mydoom。

图4: 攻击中常见的SMB模块

研究人员对比分析了WannaCry的三个主要变种,2017年2月和4月的beta版以及5月的版本;可以得出下面的结果:

图5: WannaCry代码比较

识别攻击组织

通过比较和代码块识别,研究人员发现了恶意软件家族和攻击组织之间的关系。

图6:通过代码重用分析出的攻击组织与恶意软件家族的关系

Lazarus组织的恶意软件的代码重用比较多,同时也是许多朝鲜网络活动名,从中可以看出不同恶意软件家族和攻击活动之间的关系。

恶意软件NavRAT、赌博、Gold Dragon应该是Group 123创建的,这件软件之间彼此关联,但与Lazarus使用的恶意软件是分开的。虽然是针对不同区域的攻击单元,他们看起来是一个合作的并行架构。

MITRE攻击

从恶意软件样本的分析中,可以识别出他们使用的一些技术:

本文翻译自:https://www.bleepingcomputer.com/news/security/a-first-look-at-the-north-korean-malware-family-tree/ https://securingtomorrow.mcafee.com/mcafee-labs/examining-code-reuse-reveals-undiscovered-links-among-north-koreas-malware-families/如若转载,请注明原文地址: http://www.4hou.com/web/13027.html
点赞 6
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论