WannaCry三周年,美国披露新型朝鲜恶意软件疑似掺水? – 作者:0day情报局

 大家好,我是 零日情报局

本文首发于公众号零日情报局,微信ID:lingriqingbaoju

WannaCry爆发三周年之际,美国政府一次性集中披露了三种新型朝鲜恶意软件家族,成了安全圈热议的话题。


殊不知,结合三年前WannaCry推动美国政府,2017年5月12日开始披露朝鲜恶意软件、黑客活动的特殊时间节点,这显然是一场有计划的“美式献礼”,甚至还可能掺了水。 

 

话从何来?先从披露恶意软件事件本身来看。 

 

首先,这是一次集齐国土安全部网络安全和基础设施安全局(DHS CISA)、联邦调查局(FBI)、国防部(DoD)以及网络司令部(USCYBERCOM)四大机构的联合行动,阵势十足自然少不了计划。 

image001.png(三种新型朝鲜恶意软件家族信息)

 

其次,从美国网络司令部VirusTotal帐户披露样本来看,远控木马COPPERHEDGE、恶意软件植入物TAINTEDSCRIBE和PEBBLEDASH虽是三种恶意软件家族,实际却涉及五个具体样本。

image003.jpgimage005.jpg(美国网络司令部披露五个恶意软件样本)

 

大部分媒体都说是三种新型恶意软件,但从零日找到了资料来看,有一种并不能完全称之为新样本。因为从代码相似性比对数据来看,美国政府命名为COPPERHEDGE的远控木马,极可能是部分安全公司追踪的Manuscrypt恶意软件家族。

 

推特.jpgimage007.png(恶意软件样本归因分析数据)

 

 从归因引擎比对恶意软件代码,COPPERHEDGE与Manuscrypt重合度高达100%,也证实了这一点。 美国政府的“新”,多少可能还是掺了点水。当然,你要说没准是官方(最终)名称不同,也不排除这种可能。

 

 除了高相似性的COPPERHEDGE,TAINTEDSCRIBE和PEBBLEDASH两个样本的识别率也比较高。从VirusTotal测试71个防病毒引擎,超过35个有效识别的数据来看,安全威胁尚在可控范围。 至于美国政府为什么能在这个时间节点披露一波朝鲜恶意软件,可能就不单是有计划,还是下了血本的。留意4月新闻,应该对美国政府500万美元重金悬赏朝鲜非法网络活动消息,有些印象。 

 

image009.pngimage011.png

 

当时,也是美国国务院、财政部、国土安全部和司法部四大机构联合发布公告。公告中,先是洋洋洒洒地大篇幅介绍了朝鲜背景黑客的全球威胁性,紧接着就说出500万美元,公开悬赏朝鲜网络空间非法活动信息,不管是已发生的还是正在实施,只要提供可用信息就能拿到赏金。 

 

image013.jpg

(悬赏网站)

 4月不计成本的广撒大网,也就有了5月的收获。不能说悬赏的百分百效应,但美国政府能顺利在WannaCry三周年之际,一次性披露5个恶意软件样本,必然和悬赏有关系。

 

有些人会好奇,为什么三年时间,美国政府在WannaCry这件事上依然揪着朝鲜不放,除去政治矛盾,最大的原因就是当初WannaCry利用NSA武器库漏洞横扫全球时,狠狠跌了某人的面子。  

 

当然,不管背后纠葛如何,美国公布新型恶意软件样本,都是一件好事。最后,对WannaCry三周年,美国披露新型朝鲜恶意软件,你怎么看?

 

 

参考资料:

[1] ZDNet《WannaCry三周年之际,美国披露了新的朝鲜恶意软件》


后缀动图.gif

来源:freebuf.com 2020-05-13 20:50:56 by: 0day情报局

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论