朝鮮惡意軟體家族關係一覽

研究人員分析發現來自Lazarus、Silent Chollima、Group 123、Hidden Cobra、DarkSeoul、Blockbuster、Operation Troy、10 Days of Rain的攻擊都來自朝鮮。那麼這些攻擊組織之間有沒有什麼關係呢？這些攻擊組織與WannaCry又有什麼關係呢？McAfee和Intezer研究人員通過代碼重用分析了朝鮮惡意軟體家族、攻擊活動和攻擊組織之間的關係。

代碼重用

研究人員在調查網路威脅時發現朝鮮發起了多個網路攻擊活動。在朝鮮，黑客的技能決定了為哪個網路攻擊組織工作。研究人員發現朝鮮活動的兩個關注點是掙錢和達到國家目的。第一批攻擊者會為國家收集金錢，甚至黑進金融機構、劫持賭博會話、出售盜版和破解的軟體進行犯罪行為。Unit 180就是負責利用黑客技術來非法收集外幣的組織。第二批攻擊者會從其他國家收集情報、破壞敵對國家和軍事目標等達到國家目的，Unit 121就是這樣的組織。

時間線

本文描述了惡意軟體樣本和有名的攻擊活動的時間線。

圖1: 惡意軟體和攻擊活動的時間線

惡意軟體家族關係圖

研究人員發現許多惡意軟體家族名都與朝鮮網路活動相關。為了更好的理解這些攻擊者和攻擊活動之間的相似性，研究人員使用了Intezer的代碼相似性檢測引擎勾畫出大量惡意軟體家族之間的關係。

下圖是這些關係的概覽圖，每個節點表示一個惡意軟體家族或攻擊中使用的惡意工具，每條邊表示兩個惡意軟體家族之間的代碼相似性。邊的粗細表示代碼之間的相似度。定義相似度時只考慮唯一的代碼聯繫，不考慮常見的代碼和庫。

圖2: 朝鮮惡意軟體家族之間的代碼相似度概覽圖

圖中可以看出幾乎所有的惡意軟體家族之間都存在大量的代碼相似，研究中的樣本大都是未分類的。上圖只使用了幾百個樣本，所以全圖中的關係可能更加複雜。

分析

研究人員在研究中發現了之前沒發現的一些代碼相似的情況。經過分析之後，研究人員對其進行了關聯。以SMB模塊為例：

代碼樣本出現在WannaCry（2017）、Mydoom（2009）、Joanap和DeltaAlfa的SMB（server message block，伺服器消息塊）模塊中。這些惡意軟體家族共享的代碼還有CodeProject項目的AES庫。這些攻擊最終對歸結於Lazarus組織，也就是說該組織至少從2009到2017年都在重用代碼。

圖3: Mydoom樣本的代碼重疊

下面是攻擊中常見的SMB模塊代碼塊，有別於WannaCry 和Mydoom。

圖4: 攻擊中常見的SMB模塊

研究人員對比分析了WannaCry的三個主要變種，2017年2月和4月的beta版以及5月的版本；可以得出下面的結果：

圖5: WannaCry代碼比較

識別攻擊組織

通過比較和代碼塊識別，研究人員發現了惡意軟體家族和攻擊組織之間的關係。

圖6:通過代碼重用分析出的攻擊組織與惡意軟體家族的關係

Lazarus組織的惡意軟體的代碼重用比較多，同時也是許多朝鮮網路活動名，從中可以看出不同惡意軟體家族和攻擊活動之間的關係。

惡意軟體NavRAT、賭博、Gold Dragon應該是Group 123創建的，這件軟體之間彼此關聯，但與Lazarus使用的惡意軟體是分開的。雖然是針對不同區域的攻擊單元，他們看起來是一個合作的並行架構。

MITRE攻擊

從惡意軟體樣本的分析中，可以識別出他們使用的一些技術：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！