朝鲜「恶意软件」家谱

安全研究人员分析了来自与朝鲜有关联的威胁分子的恶意软件样本，结果发现了与早期来源不详的攻击活动所使用的工具有瓜葛。

这项研究为期数月，将各种攻击活动（从网络间谍活动到以牟利为动机的活动）联系了起来。研究人员分析的活动及攻击时间表如下图所示。

研究人员分析的恶意软件活动的时间表

其中大多数活动的矛头似乎指向了朝鲜两个臭名昭著的黑客团伙中的一个：Unit 180或Unit 121。

据迈克菲公司向IT外媒BleepingComputer透露的一份报告显示，Unit 180专注于通过黑客手段为朝鲜牟利，Unit 121则以民族主义大旗为幌子，包括为其他组织提供工具和恶意软件、监视其他国家以及破坏他国的行动和军事目标。

在寻找归咎于朝鲜的样本中的代码相似之处时，迈克菲和Intezer的安全专家发现了2009年到2017年使用的工具中共享的独特代码。他们制作了一张地图，基于不同攻击活动重复使用的代码，列出了多个恶意软件系列之间的关系。

恶意软件代码的相似之处

DarkSeoul（2012年）、“重磅炸弹行动”（2014年索尼影业攻击）、NukeSpeed后门、特洛伊行动（2009年至2013年的军事间谍活动）之间似乎存在着密切的联系。这些联系之前已在一个联盟撰写的一份报告中予以披露，该联盟由多家安全公司组成，它们调查了对索尼影业攻击负责的Lazarus组织的活动。

该地图还将去年5月肆虐全球的WannaCry勒索软件与Jaku联系起来，Jaku这种工具用于有针对性的跟踪和数据泄露，伪装成僵尸网络恶意软件来运行。

使用Intezer的代码分析引擎，该引擎可将代码分解成很小的“基因”，然后这些小代码可以用来将一个样本的“DNA”与其他恶意软件样本进行比较。报告表明，从2009年到2017年的诸多恶意软件使用了一个共同的SMB模块。

研究人员在报告中写道：“第一个代码示例出现在2017年WannaCry的服务器消息块（SMB）模块、2009年的Mydoom以及Joanap和DeltaAlfa。这些恶意软件系列进一步共享的代码是来自CodeProject的AES库。这些攻击已归咎于Lazarus；这意味着该黑客组织至少在2009年至2017年重复使用了代码。”

Intezer代码分析

在另一个例子中，研究人员注意到2013年披露的Operation Troy活动与一年后披露的Darkhotel活动之间存在代码重叠。两者都是网络间谍活动，前者侧重于军事间谍活动，而后者针对众多垂直行业的公司的重要人物。

真相进一步被披露，表明了代码DNA在用于专门攻击韩国制造业的后门、“重磅炸弹行动”和引起严重破坏的WannaCry版本所使用的实用程序中有很大的百分比。这些相似之处也为更准确地描述Lazarus组织的运作规模奠定了基础。一些联系比其他联系来得弱，但建立联系只考虑了独特的代码，忽视了通用的代码和库。

如果说无可否认的证据表明即使对其中一个恶意软件系列或黑客工具来说也与朝鲜有联系，那么代码DNA暴露了不法分子的整个武器库，或至少暴露了其武器库的很大一部分。像这样的工作肯定有助于跟踪对手的演变过程。

文章出处：云头条

始发于微信公众号： 黑白之道