web-dev-qa-db-ja.com

マルウェアはどのようにして特定の国に追跡されますか?

WannaCryマルウェアが北朝鮮に追跡された後、マルウェアはどのようにして特定の国に追跡されますか?

どのように私は考えるこれを行うことができます:

  • マルウェアは、特定の国にあるIPアドレスまたはドメインを見つけるようにリバースエンジニアリングされています
  • ある国のハッキンググループからのものであることがわかっているコードの類似点(たとえば this など)
  • 特定の文法の間違いや使用されている単語

他にどのような方法がありますか?

1
Joe

エンティティの解決と一般的なインテリジェンスだけがその大部分を占めています。

マルウェアに遭遇してそれを元に戻し、攻撃者がロシア語であるなどのキリル文字またはその他の指標を見つけ、C + CがIPアドレスA.B.C.Dに呼び出した場合、それが記録されます。キャンペーンについて私たちが学んだあらゆる情報は、ある種のインテリジェンスリポジトリにログインします。この情報の一部は、他の機関と共有されるか、サードパーティのインテリジェンスベンダーを通じて提供されます。私たちは彼らから学び、彼らはどのような脅威が存在するかについて私たちから学びます。

その後、新しいマルウェアがポップアップする可能性があります。今回、彼らはコードから言語識別子を削除するより良い仕事をしたので、Origin環境に関する開始のヒントはありません。しかし、私たちが見たこの他のマルウェアと同様のドメインを呼び出すか、A.B.C.D(共有インフラストラクチャを示す)にも到達していることがわかります。または、他のキャンペーンでポップアップ表示された名前に登録されているドメイン名にアクセスします。

ほとんどのトラフィックはボットネットまたはTorを経由するため、IPジオロケーション自体は通常は赤ニシンです。ただし、2つの固有のマルウェアが(それが何であるかに関係なく)同じ場所に到達する可能性があるという事実は、キャンペーン間の共通性を示しているため、既存の攻撃についてすでに知っている情報と相関させます。

コードの類似点も通常は赤いニシンです。多くのマルウェアは「コモディティ」マルウェアに分類されます。つまり、どこにあるかを知っている人なら誰でも、いわば「既成」で購入できます。したがって、スイスの銀行からお金を盗むために何かを書いた場合、それをロシアのマフィア、イスラエルのティーンエイジャー、または中国の政府関係者にすべて同じように売ることができます-今では3つすべてがアメリカの言語的なヒントを持つコードを使用しているようです/ Canada/UKをソースとして。

また、面白いことに、多くの政府は、外国の機関をハッキングすることに関して、反対の見方をしています。特定の国を特に標的としないマルウェアを見つけた場合、それは一般に、ソース自体がその国であることを示しています。ロシア人は、アメリカの銀行にそれを行っただけでは文字通り結果がないのに、国内の銀行をハッキングすることに巻き込まれたくないのです。代わりに。

2
Ivan