由于缺乏傳統情報來(lái)源的支持,可用于將Olympic Destroyer惡意軟件與特定威脅攻擊組織關(guān)聯(lián)的證據模糊不清,使得攻擊組織的身份難以確定。威脅攻擊組織有目的地使用了多個(gè)迷惑性特征,以此迷惑和誤導分析人員與研究人員。這種錯誤的溯源可能被攻擊組織加以利用,通過(guò)公開(kāi)引用被迷惑的第三方所發(fā)布的錯誤聲明,作為否認指控的證據。溯源雖然一直是討論的熱點(diǎn),但其難度非常大,而且尚未成為一門(mén)精準的科學(xué)。而這必然會(huì )使人們對純粹基于軟件的溯源在未來(lái)的發(fā)展產(chǎn)生質(zhì)疑。
介紹
韓國平昌奧運會(huì )在本月初遭到網(wǎng)絡(luò )攻擊的破壞。據報道,此次攻擊導致奧運會(huì )網(wǎng)站中斷,觀(guān)眾無(wú)法打印奧運會(huì )門(mén)票。由于現場(chǎng)記者無(wú)法使用WiFi,因此開(kāi)幕式的報道量也有所降低。2月12日,思科Talos發(fā)布了一篇博客,詳細說(shuō)明了惡意軟件Olympic Destroyer的功能,我們確信該惡意軟件被用于了此次攻擊。
引用了Olympic Destroyer的建議溯源的報道示例。
該惡意軟件并非憑空生成,此次事件也并非偶然發(fā)生,但誰(shuí)應該為其負責呢?根據攻擊追溯到特定的惡意軟件編寫(xiě)者或威脅攻擊組織并非一門(mén)簡(jiǎn)單或精確的科學(xué)。為了識別相似性,我們在此過(guò)程中必須考慮、分析許多參數,并與之前的攻擊進(jìn)行對比。與任何犯罪行為一樣,犯罪分子也傾向于采用技術(shù)手段,往往會(huì )留下類(lèi)似于數字指紋一樣的痕跡,我們可以發(fā)現這些指紋,并用它們來(lái)確定其他相關(guān)的犯罪行為。
在網(wǎng)絡(luò )安全事件領(lǐng)域,分析人員會(huì )尋找溯源所需的相似性,例如:
- 戰術(shù)、技術(shù)和程序(TTP)(攻擊者如何進(jìn)行攻擊)
- 受害者學(xué)(受害者的特征)
- 基礎設施(作為攻擊工具之一的平臺)
- 感染指標(IOC)(攻擊期間留下的可識別的人為痕跡)
- 惡意軟件樣本(作為攻擊工具之一的惡意軟件)
軟件工程的優(yōu)勢之一是能夠共享代碼,在別人編寫(xiě)的庫之上構建應用程序,并汲取其他軟件工程師的成功經(jīng)驗和失敗教訓。威脅攻擊組織也是如此。兩個(gè)不同的威脅攻擊組織可能會(huì )在其攻擊中使用同一來(lái)源的代碼,這意味著(zhù)他們的攻擊會(huì )顯示相似性,盡管攻擊實(shí)際上是由不同的組織發(fā)起。有時(shí),威脅攻擊組織可能會(huì )選擇包含來(lái)自另一個(gè)組織的特征,以挫敗分析人員,并誘導他們做出錯誤的溯源。
在Olympic Destroyer案例中,證據是什么,關(guān)于溯源我們可以得出什么結論呢?
OLYMPIC DESTROYER系列疑點(diǎn)
The Lazarus Group
The Lazarus Group也被稱(chēng)為Group 77,是一個(gè)神秘的威脅攻擊組織,曾發(fā)起過(guò)大量攻擊。值得注意的是,The Lazarus Group的一個(gè)分支,被稱(chēng)為Bluenoroff組,對孟加拉國一家銀行的SWIFT基礎設施進(jìn)行了攻擊。
- BAE Systems指出,SWIFT惡意軟件中使用了如下的文件命名規則:evtdiag.exe、evtsys.exe和evtchk.bat。
- Olympic Destroyer惡意軟件會(huì )檢查是否存在以下文件:%programdata%\evtchk.txt。
這兩個(gè)案例存在明顯的相似之處。盡管這一發(fā)現并不能說(shuō)明問(wèn)題,但這至少是一個(gè)線(xiàn)索。
BAE Systems同時(shí)又指出,Olympic Destroyer和與Bluenoroff相關(guān)的wiper惡意軟件之間也存在相似之處。在本例中,Bluenoroff wiper功能在左側,Olympic Destroyer wiper功能在右側:
顯然,代碼并不完全相同,但是僅擦除大文件的第一個(gè)0x1000字節這一非常特定的邏輯,在這兩個(gè)案例中完全相同且是獨一無(wú)二的。這是另一個(gè)線(xiàn)索,也是比文件名檢查更有力的證據。
但是,Bluenoroff使用的文件名和wiper功能均已記錄在案,并可被任何人利用。我們真正的罪魁禍首可能會(huì )添加文件名稱(chēng)檢查,并模仿wiper功能,只是為了牽連The Lazarus Group,并潛在地掩護其真實(shí)身份。
Olympic Destroyer樣本:
23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b0
Bluenoroff樣本1:
ae086350239380f56470c19d6a200f7d251c7422c7bc5ce74730ee8bab8e6283
Bluenoroff樣本2:
5b7c970fee7ebe08d50665f278d47d0e34c04acc19a91838de6a3fc63a8e5630
APT3和APT10
Intezer Labs發(fā)現Olympic Destroyer與之前APT3和APT10的攻擊使用了相同的代碼。
Intezer Labs發(fā)現Olympic Destroyer與APT3使用的一種工具存在18.5%的相似度,用以從內存中竊取證書(shū)。這可能是一個(gè)非常重要的線(xiàn)索。然而,APT3工具基于開(kāi)源工具M(jìn)imikatz。由于Mimikatz可供任何人下載,因此Olympic Destroyer的作者完全有可能在其惡意軟件中使用來(lái)自Mimikatz的代碼,以將線(xiàn)索指向其他使用過(guò)該工具的惡意軟件作者。
Intezer Labs還發(fā)現Olympic Destroyer和APT10之間用于生成AES密鑰的功能存在相似之處。根據Intezer Labs的調查,這一特殊功能僅被APT10使用過(guò)。這也許是惡意軟件作者疏忽的一個(gè)非常重要的線(xiàn)索,可用來(lái)判斷其身份。
Nyetya
2017年6月的Nyetya(NotPetya)惡意軟件同樣也使用了衍生自Mimikatz的代碼,用于竊取證書(shū)。此外,與Nyetya一樣,Olympic Destroyer也通過(guò)濫用PsExec和WMI的合法功能橫向傳播。像Nyetya一樣,Olympic Destroyer使用命名管道將偷來(lái)的證書(shū)發(fā)送到主模塊。
與Nyetya不同的是,Olympic Destroyer沒(méi)有利用漏洞EternalBlue和EternalRomance進(jìn)行傳播。但是,該攻擊組織已經(jīng)在Olympic Destroyer源代碼內留下了偽裝,以暗示SMB漏洞的存在。
Olympic Destroyer包括這四種結構的定義:
這四種結構也包含在公開(kāi)的EternalBlue概念驗證中:
Olympic Destroyer在執行時(shí),會(huì )在運行過(guò)程中加載這些結構,但未進(jìn)行使用。顯然,作者知道EternalBlue PoC,但這些結構存在的原因很模糊。很可能作者想給安全分析人員設一個(gè)陷阱,以挑起一個(gè)錯誤的肯定溯源。或者,我們可以看到功能的痕跡,但無(wú)法證明被用于了惡意軟件。
結論
溯源挑戰重重。很少有分析人員能提供出可支持法庭做出判決的證據。許多人很快就會(huì )得出結論,并將Olympic Destroyer判定為特定的群體。然而,這種指責的基礎往往很薄弱。現在我們可能會(huì )看到惡意軟件作者放置了多個(gè)虛假標志,這使得僅基于惡意軟件樣本的溯源變得撲朔迷離。
對于威脅攻擊組織,我們無(wú)法獲得確鑿的證據指證犯罪方。其他安全分析人員和調查機構可能有進(jìn)一步的證據,但我們無(wú)法訪(fǎng)問(wèn)。即使有的組織擁有更多證據,例如信號情報或可能為溯源提供重要線(xiàn)索的人員情報來(lái)源,但他們可能不愿意分享其洞察,以免背叛其情報收集行動(dòng)的性質(zhì)。
我們認為Olympic Destroyer攻擊顯然是一種大膽的攻擊,幾乎可以肯定是由一個(gè)具有一定水平的威脅攻擊組織發(fā)起的,他們不相信自己會(huì )很容易被發(fā)現并被追究責任。
我們相信威脅攻擊組織之間很可能會(huì )共享代碼。開(kāi)源工具是功能的有用來(lái)源。通過(guò)借鑒其他組織成功發(fā)起的攻擊,并使用其中的技術(shù),將會(huì )給分析人員提供錯誤的證據,導致他們做出錯誤的溯源。
同樣,我們預計高級威脅攻擊組織將會(huì )充分利用這一點(diǎn),整合旨在欺騙分析人員的證據,以導致分析人員錯誤地將攻擊歸因于其他組織。威脅攻擊者可能會(huì )一邊讀著(zhù)安全分析人員發(fā)布的錯誤信息,一邊暗自竊喜。極端情況下,國家也可以利用被迷惑的第三方由于錯誤溯源發(fā)布的證據,否認攻擊指控。每一次的錯誤溯源,都會(huì )讓攻擊組織隱藏起來(lái)。在這個(gè)虛假新聞高發(fā)的時(shí)代,溯源是一個(gè)高度敏感的問(wèn)題。
隨著(zhù)威脅攻擊組織不斷完善他們的技能和技術(shù),我們很可能會(huì )看到威脅攻擊組織進(jìn)一步采用各種手段來(lái)混淆溯源,讓溯源變得更加錯綜復雜。溯源絕非易事,而在未來(lái)這只會(huì )難上加難。
思科Talos團隊介紹
思科Talos團隊由業(yè)界領(lǐng)先的網(wǎng)絡(luò )安全專(zhuān)家組成,他們分析評估黑客活動(dòng)、入侵企圖、惡意軟件以及漏洞的最新趨勢。ClamAV團隊和一些標準的安全工具書(shū)的作者中最知名的安全專(zhuān)家,都是思科Talos的成員。該團隊的專(zhuān)長(cháng)涵蓋軟件開(kāi)發(fā)、逆向工程、漏洞分析、惡意軟件的調查和情報收集等。思科Talos團隊同時(shí)也負責維護Snort.org,ClamAV,SenderBase.org和SpamCop中的官方規則集,同時(shí)得到了社區的龐大資源支持,使得它成為網(wǎng)絡(luò )安全行業(yè)最大的安全研究團隊。思科Talos作為思科安全情報的主要發(fā)掘提供團隊,為思科的安全研究和安全產(chǎn)品服務(wù)提供了強大的后盾支持,幫助思科的安全解決方案阻擋最新最復雜的攻擊。
