韓國平昌奧運會在本月初遭到網絡攻擊的破壞。據報道，此次攻擊導致奧運會網站中斷，觀眾無法打印奧運會門票。由于現(xiàn)場記者無法使用WiFi，因此開幕式的報道量也有所降低。2月12日，思科Talos發(fā)布了一篇博客，詳細說明了惡意軟件Olympic Destroyer的功能，我們確信該惡意軟件被用于了此次攻擊。

引用了Olympic Destroyer的建議溯源的報道示例。

  該惡意軟件并非憑空生成，此次事件也并非偶然發(fā)生，但誰應該為其負責呢？根據攻擊追溯到特定的惡意軟件編寫者或威脅攻擊組織并非一門簡單或精確的科學。為了識別相似性，我們在此過程中必須考慮、分析許多參數，并與之前的攻擊進行對比。與任何犯罪行為一樣，犯罪分子也傾向于采用技術手段，往往會留下類似于數字指紋一樣的痕跡，我們可以發(fā)現(xiàn)這些指紋，并用它們來確定其他相關的犯罪行為。

在網絡安全事件領域，分析人員會尋找溯源所需的相似性，例如：

• 戰(zhàn)術、技術和程序（TTP）（攻擊者如何進行攻擊）

• 受害者學（受害者的特征）

• 基礎設施（作為攻擊工具之一的平臺）

• 感染指標（IOC）（攻擊期間留下的可識別的人為痕跡）

• 惡意軟件樣本（作為攻擊工具之一的惡意軟件）

  軟件工程的優(yōu)勢之一是能夠共享代碼，在別人編寫的庫之上構建應用程序，并汲取其他軟件工程師的成功經驗和失敗教訓。威脅攻擊組織也是如此。兩個不同的威脅攻擊組織可能會在其攻擊中使用同一來源的代碼，這意味著他們的攻擊會顯示相似性，盡管攻擊實際上是由不同的組織發(fā)起。有時，威脅攻擊組織可能會選擇包含來自另一個組織的特征，以挫敗分析人員，并誘導他們做出錯誤的溯源。

在Olympic Destroyer案例中，證據是什么，關于溯源我們可以得出什么結論呢？

OLYMPIC DESTROYER系列疑點

The Lazarus Group

      The Lazarus Group也被稱為Group 77，是一個神秘的威脅攻擊組織，曾發(fā)起過大量攻擊。值得注意的是，The Lazarus Group的一個分支，被稱為Bluenoroff組，對孟加拉國一家銀行的SWIFT基礎設施進行了攻擊。

      BAE Systems指出，SWIFT惡意軟件中使用了如下的文件命名規(guī)則：evtdiag.exe、evtsys.exe和evtchk.bat。

Olympic Destroyer惡意軟件會檢查是否存在以下文件：%programdata%\evtchk.txt。

  這兩個案例存在明顯的相似之處。盡管這一發(fā)現(xiàn)并不能說明問題，但這至少是一個線索。

      BAE Systems同時又指出，Olympic Destroyer和與Bluenoroff相關的wiper惡意軟件之間也存在相似之處。在本例中，Bluenoroff wiper功能在左側，Olympic Destroyer wiper功能在右側：

  顯然，代碼并不完全相同，但是僅擦除大文件的第一個0x1000字節(jié)這一非常特定的邏輯，在這兩個案例中完全相同且是獨一無二的。這是另一個線索，也是比文件名檢查更有力的證據。

  但是，Bluenoroff使用的文件名和wiper功能均已記錄在案，并可被任何人利用。我們真正的罪魁禍首可能會添加文件名稱檢查，并模仿wiper功能，只是為了牽連The Lazarus Group，并潛在地掩護其真實身份。

Olympic Destroyer樣本：

23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b0

Bluenoroff樣本1：

ae086350239380f56470c19d6a200f7d251c7422c7bc5ce74730ee8bab8e6283

Bluenoroff樣本2：

5b7c970fee7ebe08d50665f278d47d0e34c04acc19a91838de6a3fc63a8e5630

APT3和APT10

      Intezer Labs發(fā)現(xiàn)Olympic Destroyer與之前APT3和APT10的攻擊使用了相同的代碼。

       Intezer Labs發(fā)現(xiàn)Olympic Destroyer與APT3使用的一種工具存在18.5%的相似度，用以從內存中竊取證書。這可能是一個非常重要的線索。然而，APT3工具基于開源工具Mimikatz。由于Mimikatz可供任何人下載，因此Olympic Destroyer的作者完全有可能在其惡意軟件中使用來自Mimikatz的代碼，以將線索指向其他使用過該工具的惡意軟件作者。

       Intezer Labs還發(fā)現(xiàn)Olympic Destroyer和APT10之間用于生成AES密鑰的功能存在相似之處。根據Intezer Labs的調查，這一特殊功能僅被APT10使用過。這也許是惡意軟件作者疏忽的一個非常重要的線索，可用來判斷其身份。

Nyetya

       2017年6月的Nyetya（NotPetya）惡意軟件同樣也使用了衍生自Mimikatz的代碼，用于竊取證書。此外，與Nyetya一樣，Olympic Destroyer也通過濫用PsExec和WMI的合法功能橫向傳播。像Nyetya一樣，Olympic Destroyer使用命名管道將偷來的證書發(fā)送到主模塊。

  與Nyetya不同的是，Olympic Destroyer沒有利用漏洞EternalBlue和EternalRomance進行傳播。但是，該攻擊組織已經在Olympic Destroyer源代碼內留下了偽裝，以暗示SMB漏洞的存在。

Olympic Destroyer包括這四種結構的定義：

這四種結構也包含在公開的EternalBlue概念驗證中：

      Olympic Destroyer在執(zhí)行時，會在運行過程中加載這些結構，但未進行使用。顯然，作者知道EternalBlue PoC，但這些結構存在的原因很模糊。很可能作者想給安全分析人員設一個陷阱，以挑起一個錯誤的肯定溯源?；蛘?，我們可以看到功能的痕跡，但無法證明被用于了惡意軟件。

結論

  溯源挑戰(zhàn)重重。很少有分析人員能提供出可支持法庭做出判決的證據。許多人很快就會得出結論，并將Olympic Destroyer判定為特定的群體。然而，這種指責的基礎往往很薄弱?，F(xiàn)在我們可能會看到惡意軟件作者放置了多個虛假標志，這使得僅基于惡意軟件樣本的溯源變得撲朔迷離。

  對于威脅攻擊組織，我們無法獲得確鑿的證據指證犯罪方。其他安全分析人員和調查機構可能有進一步的證據，但我們無法訪問。即使有的組織擁有更多證據，例如信號情報或可能為溯源提供重要線索的人員情報來源，但他們可能不愿意分享其洞察，以免背叛其情報收集行動的性質。

  我們認為Olympic Destroyer攻擊顯然是一種大膽的攻擊，幾乎可以肯定是由一個具有一定水平的威脅攻擊組織發(fā)起的，他們不相信自己會很容易被發(fā)現(xiàn)并被追究責任。

  我們相信威脅攻擊組織之間很可能會共享代碼。開源工具是功能的有用來源。通過借鑒其他組織成功發(fā)起的攻擊，并使用其中的技術，將會給分析人員提供錯誤的證據，導致他們做出錯誤的溯源。

  同樣，我們預計高級威脅攻擊組織將會充分利用這一點，整合旨在欺騙分析人員的證據，以導致分析人員錯誤地將攻擊歸因于其他組織。威脅攻擊者可能會一邊讀著安全分析人員發(fā)布的錯誤信息，一邊暗自竊喜。極端情況下，國家也可以利用被迷惑的第三方由于錯誤溯源發(fā)布的證據，否認攻擊指控。每一次的錯誤溯源，都會讓攻擊組織隱藏起來。在這個虛假新聞高發(fā)的時代，溯源是一個高度敏感的問題。

  隨著威脅攻擊組織不斷完善他們的技能和技術，我們很可能會看到威脅攻擊組織進一步采用各種手段來混淆溯源，讓溯源變得更加錯綜復雜。溯源絕非易事，而在未來這只會難上加難。

思科Talos團隊介紹

  思科Talos團隊由業(yè)界領先的網絡安全專家組成，他們分析評估黑客活動、入侵企圖、惡意軟件以及漏洞的最新趨勢。ClamAV團隊和一些標準的安全工具書的作者中最知名的安全專家，都是思科Talos的成員。該團隊的專長涵蓋軟件開發(fā)、逆向工程、漏洞分析、惡意軟件的調查和情報收集等。思科Talos團隊同時也負責維護Snort.org，ClamAV，SenderBase.org和SpamCop中的官方規(guī)則集，同時得到了社區(qū)的龐大資源支持，使得它成為網絡安全行業(yè)最大的安全研究團隊。思科Talos作為思科安全情報的主要發(fā)掘提供團隊，為思科的安全研究和安全產品服務提供了強大的后盾支持，幫助思科的安全解決方案阻擋最新最復雜的攻擊。