由于缺乏傳統(tǒng)情報(bào)來源的支持,可用于將Olympic Destroyer惡意軟件與特定威脅攻擊組織關(guān)聯(lián)的證據(jù)模糊不清,使得攻擊組織的身份難以確定。威脅攻擊組織有目的地使用了多個(gè)迷惑性特征,以此迷惑和誤導(dǎo)分析人員與研究人員。這種錯誤的溯源可能被攻擊組織加以利用,通過公開引用被迷惑的第三方所發(fā)布的錯誤聲明,作為否認(rèn)指控的證據(jù)。溯源雖然一直是討論的熱點(diǎn),但其難度非常大,而且尚未成為一門精準(zhǔn)的科學(xué)。而這必然會使人們對純粹基于軟件的溯源在未來的發(fā)展產(chǎn)生質(zhì)疑。
介紹
韓國平昌奧運(yùn)會在本月初遭到網(wǎng)絡(luò)攻擊的破壞。據(jù)報(bào)道,此次攻擊導(dǎo)致奧運(yùn)會網(wǎng)站中斷,觀眾無法打印奧運(yùn)會門票。由于現(xiàn)場記者無法使用WiFi,因此開幕式的報(bào)道量也有所降低。2月12日,思科Talos發(fā)布了一篇博客,詳細(xì)說明了惡意軟件Olympic Destroyer的功能,我們確信該惡意軟件被用于了此次攻擊。
引用了Olympic Destroyer的建議溯源的報(bào)道示例。
該惡意軟件并非憑空生成,此次事件也并非偶然發(fā)生,但誰應(yīng)該為其負(fù)責(zé)呢?根據(jù)攻擊追溯到特定的惡意軟件編寫者或威脅攻擊組織并非一門簡單或精確的科學(xué)。為了識別相似性,我們在此過程中必須考慮、分析許多參數(shù),并與之前的攻擊進(jìn)行對比。與任何犯罪行為一樣,犯罪分子也傾向于采用技術(shù)手段,往往會留下類似于數(shù)字指紋一樣的痕跡,我們可以發(fā)現(xiàn)這些指紋,并用它們來確定其他相關(guān)的犯罪行為。
在網(wǎng)絡(luò)安全事件領(lǐng)域,分析人員會尋找溯源所需的相似性,例如:
- 戰(zhàn)術(shù)、技術(shù)和程序(TTP)(攻擊者如何進(jìn)行攻擊)
- 受害者學(xué)(受害者的特征)
- 基礎(chǔ)設(shè)施(作為攻擊工具之一的平臺)
- 感染指標(biāo)(IOC)(攻擊期間留下的可識別的人為痕跡)
- 惡意軟件樣本(作為攻擊工具之一的惡意軟件)
軟件工程的優(yōu)勢之一是能夠共享代碼,在別人編寫的庫之上構(gòu)建應(yīng)用程序,并汲取其他軟件工程師的成功經(jīng)驗(yàn)和失敗教訓(xùn)。威脅攻擊組織也是如此。兩個(gè)不同的威脅攻擊組織可能會在其攻擊中使用同一來源的代碼,這意味著他們的攻擊會顯示相似性,盡管攻擊實(shí)際上是由不同的組織發(fā)起。有時(shí),威脅攻擊組織可能會選擇包含來自另一個(gè)組織的特征,以挫敗分析人員,并誘導(dǎo)他們做出錯誤的溯源。
在Olympic Destroyer案例中,證據(jù)是什么,關(guān)于溯源我們可以得出什么結(jié)論呢?
OLYMPIC DESTROYER系列疑點(diǎn)
The Lazarus Group
The Lazarus Group也被稱為Group 77,是一個(gè)神秘的威脅攻擊組織,曾發(fā)起過大量攻擊。值得注意的是,The Lazarus Group的一個(gè)分支,被稱為Bluenoroff組,對孟加拉國一家銀行的SWIFT基礎(chǔ)設(shè)施進(jìn)行了攻擊。
- BAE Systems指出,SWIFT惡意軟件中使用了如下的文件命名規(guī)則:evtdiag.exe、evtsys.exe和evtchk.bat。
- Olympic Destroyer惡意軟件會檢查是否存在以下文件:%programdata%\evtchk.txt。
這兩個(gè)案例存在明顯的相似之處。盡管這一發(fā)現(xiàn)并不能說明問題,但這至少是一個(gè)線索。
BAE Systems同時(shí)又指出,Olympic Destroyer和與Bluenoroff相關(guān)的wiper惡意軟件之間也存在相似之處。在本例中,Bluenoroff wiper功能在左側(cè),Olympic Destroyer wiper功能在右側(cè):
顯然,代碼并不完全相同,但是僅擦除大文件的第一個(gè)0x1000字節(jié)這一非常特定的邏輯,在這兩個(gè)案例中完全相同且是獨(dú)一無二的。這是另一個(gè)線索,也是比文件名檢查更有力的證據(jù)。
但是,Bluenoroff使用的文件名和wiper功能均已記錄在案,并可被任何人利用。我們真正的罪魁禍?zhǔn)卓赡軙砑游募Q檢查,并模仿wiper功能,只是為了牽連The Lazarus Group,并潛在地掩護(hù)其真實(shí)身份。
Olympic Destroyer樣本:
23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b0
Bluenoroff樣本1:
ae086350239380f56470c19d6a200f7d251c7422c7bc5ce74730ee8bab8e6283
Bluenoroff樣本2:
5b7c970fee7ebe08d50665f278d47d0e34c04acc19a91838de6a3fc63a8e5630
APT3和APT10
Intezer Labs發(fā)現(xiàn)Olympic Destroyer與之前APT3和APT10的攻擊使用了相同的代碼。
Intezer Labs發(fā)現(xiàn)Olympic Destroyer與APT3使用的一種工具存在18.5%的相似度,用以從內(nèi)存中竊取證書。這可能是一個(gè)非常重要的線索。然而,APT3工具基于開源工具M(jìn)imikatz。由于Mimikatz可供任何人下載,因此Olympic Destroyer的作者完全有可能在其惡意軟件中使用來自Mimikatz的代碼,以將線索指向其他使用過該工具的惡意軟件作者。
Intezer Labs還發(fā)現(xiàn)Olympic Destroyer和APT10之間用于生成AES密鑰的功能存在相似之處。根據(jù)Intezer Labs的調(diào)查,這一特殊功能僅被APT10使用過。這也許是惡意軟件作者疏忽的一個(gè)非常重要的線索,可用來判斷其身份。
Nyetya
2017年6月的Nyetya(NotPetya)惡意軟件同樣也使用了衍生自Mimikatz的代碼,用于竊取證書。此外,與Nyetya一樣,Olympic Destroyer也通過濫用PsExec和WMI的合法功能橫向傳播。像Nyetya一樣,Olympic Destroyer使用命名管道將偷來的證書發(fā)送到主模塊。
與Nyetya不同的是,Olympic Destroyer沒有利用漏洞EternalBlue和EternalRomance進(jìn)行傳播。但是,該攻擊組織已經(jīng)在Olympic Destroyer源代碼內(nèi)留下了偽裝,以暗示SMB漏洞的存在。
Olympic Destroyer包括這四種結(jié)構(gòu)的定義:
這四種結(jié)構(gòu)也包含在公開的EternalBlue概念驗(yàn)證中:
Olympic Destroyer在執(zhí)行時(shí),會在運(yùn)行過程中加載這些結(jié)構(gòu),但未進(jìn)行使用。顯然,作者知道EternalBlue PoC,但這些結(jié)構(gòu)存在的原因很模糊。很可能作者想給安全分析人員設(shè)一個(gè)陷阱,以挑起一個(gè)錯誤的肯定溯源。或者,我們可以看到功能的痕跡,但無法證明被用于了惡意軟件。
結(jié)論
溯源挑戰(zhàn)重重。很少有分析人員能提供出可支持法庭做出判決的證據(jù)。許多人很快就會得出結(jié)論,并將Olympic Destroyer判定為特定的群體。然而,這種指責(zé)的基礎(chǔ)往往很薄弱。現(xiàn)在我們可能會看到惡意軟件作者放置了多個(gè)虛假標(biāo)志,這使得僅基于惡意軟件樣本的溯源變得撲朔迷離。
對于威脅攻擊組織,我們無法獲得確鑿的證據(jù)指證犯罪方。其他安全分析人員和調(diào)查機(jī)構(gòu)可能有進(jìn)一步的證據(jù),但我們無法訪問。即使有的組織擁有更多證據(jù),例如信號情報(bào)或可能為溯源提供重要線索的人員情報(bào)來源,但他們可能不愿意分享其洞察,以免背叛其情報(bào)收集行動的性質(zhì)。
我們認(rèn)為Olympic Destroyer攻擊顯然是一種大膽的攻擊,幾乎可以肯定是由一個(gè)具有一定水平的威脅攻擊組織發(fā)起的,他們不相信自己會很容易被發(fā)現(xiàn)并被追究責(zé)任。
我們相信威脅攻擊組織之間很可能會共享代碼。開源工具是功能的有用來源。通過借鑒其他組織成功發(fā)起的攻擊,并使用其中的技術(shù),將會給分析人員提供錯誤的證據(jù),導(dǎo)致他們做出錯誤的溯源。
同樣,我們預(yù)計(jì)高級威脅攻擊組織將會充分利用這一點(diǎn),整合旨在欺騙分析人員的證據(jù),以導(dǎo)致分析人員錯誤地將攻擊歸因于其他組織。威脅攻擊者可能會一邊讀著安全分析人員發(fā)布的錯誤信息,一邊暗自竊喜。極端情況下,國家也可以利用被迷惑的第三方由于錯誤溯源發(fā)布的證據(jù),否認(rèn)攻擊指控。每一次的錯誤溯源,都會讓攻擊組織隱藏起來。在這個(gè)虛假新聞高發(fā)的時(shí)代,溯源是一個(gè)高度敏感的問題。
隨著威脅攻擊組織不斷完善他們的技能和技術(shù),我們很可能會看到威脅攻擊組織進(jìn)一步采用各種手段來混淆溯源,讓溯源變得更加錯綜復(fù)雜。溯源絕非易事,而在未來這只會難上加難。
思科Talos團(tuán)隊(duì)介紹
思科Talos團(tuán)隊(duì)由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專家組成,他們分析評估黑客活動、入侵企圖、惡意軟件以及漏洞的最新趨勢。ClamAV團(tuán)隊(duì)和一些標(biāo)準(zhǔn)的安全工具書的作者中最知名的安全專家,都是思科Talos的成員。該團(tuán)隊(duì)的專長涵蓋軟件開發(fā)、逆向工程、漏洞分析、惡意軟件的調(diào)查和情報(bào)收集等。思科Talos團(tuán)隊(duì)同時(shí)也負(fù)責(zé)維護(hù)Snort.org,ClamAV,SenderBase.org和SpamCop中的官方規(guī)則集,同時(shí)得到了社區(qū)的龐大資源支持,使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團(tuán)隊(duì)。思科Talos作為思科安全情報(bào)的主要發(fā)掘提供團(tuán)隊(duì),為思科的安全研究和安全產(chǎn)品服務(wù)提供了強(qiáng)大的后盾支持,幫助思科的安全解決方案阻擋最新最復(fù)雜的攻擊。
