マルウェアの作成者はどのようにして特定できますか?
私の質問は:
マルウェアの作成者について、サンプルのマルウェアをオンラインで入手し、好きな部分をコピーして貼り付け、独自の部分をそれに追加できるとしたら、どうすれば結論を出すことができますか?
明らかにこの質問にも当てはまるマルウェアの種類はたくさんありますが、ここでは例としてWannaCryを使用します。疑惑は悪意のあるファイルで使用された多くの技術と論理部分に基づいていました。なぜなら、一部は以前に北朝鮮のグループが使用していたマルウェアと同一だったからです。
しかし このビデオ の間、記者はこれが他の国家国家の俳優による策略である可能性さえあるとさえ言います。マルウェアの作成者に関する想定は政治的な理由で行われたようであり、バイナリデータのこの特定の構成が1つの特定のグループに関連付けられていることを誰も保証できないためです。
一致する数行のアセンブリ(ビデオを参照)がこのような見出しをリリースするのに十分な正当化であるかどうか疑問に思っています可能なスパムフォルダに?
編集:
コード内の特定のアーティファクトが、だれがそれを書いたのかを理解するのに役立つ場合があることは承知していますが、ビデオでは、アセンブリの指示に基づいて政府を世界規模のサイバー攻撃に接続しているようです。これは、著者のアドレスを誤ってwhois情報に残したり、ハードコードされた資格情報を削除し忘れたりすることとは異なります。
主流のメディア報道はこの種のもののために行く場所ではありません。シマンテックのレポートを調べると、より詳細な情報が得られます。彼らは、WannaCryはおそらくLazarus Groupと呼ばれる衣装によって作成されたと主張し、特にこのマルウェアは国から期待されるパターンに適合しないと主張します-国の努力。
https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group
特に、彼らは言う:
この攻撃と別のLazarus攻撃との間のネットワーク化されたコマンドと制御インフラストラクチャは、同じIPアドレスのいくつかを使用して類似しています。
ソフトウェアは、ネットワークバッファーとネットワーク通信を同じ方法で処理します。具体的には、同じ定数値のいくつかを使用します。
ソフトウェアのバイナリには、繰り返し文字列が多数含まれています。
ソフトウェアは同じ方法で暗号番号を生成します。
ソフトウェアには、少なくとも1つの共有機能があります。
つまり、これらの2つのソフトウェアは何らかの接続を共有しています。同じグループがそれらを作成する責任があるか、コードとネットワークインフラストラクチャを共有する2つのグループによって作成されているか、または誰かが非常に長い時間をかけて一般的な著者であるかのように見せる場合があります。存在しない。関係がなく、上記のすべてが完全な偶然の可能性のみであるということは実際には不可能です。
一部の人々は、ラザログループが北朝鮮の国民国家グループであると主張しようとしましたが、これを裏付ける証拠は実際にはありません。彼らの初期の攻撃のいくつかは韓国政府とソニーに対するものでしたが、これはかなり状況です。彼らはまた、南朝鮮以外の日本人以外の標的を攻撃した。