由于缺乏傳統(tǒng)情報來源的支持，可用于將Olympic Destroyer惡意軟件與特定威脅攻擊組織關(guān)聯(lián)的證據(jù)模糊不清，使得攻擊組織的身份難以確定。威脅攻擊組織有目的地使用了多個迷惑性特征，以此迷惑和誤導(dǎo)分析人員與研究人員。這種錯誤的溯源可能被攻擊組織加以利用，通過公開引用被迷惑的第三方所發(fā)布的錯誤聲明，作為否認指控的證據(jù)。溯源雖然一直是討論的熱點，但其難度非常大，而且尚未成為一門精準(zhǔn)的科學(xué)。而這必然會使人們對純粹基于軟件的溯源在未來的發(fā)展產(chǎn)生質(zhì)疑。

　　韓國平昌奧運會在本月初遭到網(wǎng)絡(luò)攻擊的破壞。據(jù)報道，此次攻擊導(dǎo)致奧運會網(wǎng)站中斷，觀眾無法打印奧運會門票。由于現(xiàn)場記者無法使用WiFi，因此開幕式的報道量也有所降低。2月12日，思科Talos發(fā)布了一篇博客，詳細說明了惡意軟件Olympic Destroyer的功能，我們確信該惡意軟件被用于了此次攻擊。

　　引用了Olympic Destroyer的建議溯源的報道示例。

　　該惡意軟件并非憑空生成，此次事件也并非偶然發(fā)生，但誰應(yīng)該為其負責(zé)呢？根據(jù)攻擊追溯到特定的惡意軟件編寫者或威脅攻擊組織并非一門簡單或精確的科學(xué)。為了識別相似性，我們在此過程中必須考慮、分析許多參數(shù)，并與之前的攻擊進行對比。與任何犯罪行為一樣，犯罪分子也傾向于采用技術(shù)手段，往往會留下類似于數(shù)字指紋一樣的痕跡，我們可以發(fā)現(xiàn)這些指紋，并用它們來確定其他相關(guān)的犯罪行為。

　　軟件工程的優(yōu)勢之一是能夠共享代碼，在別人編寫的庫之上構(gòu)建應(yīng)用程序，并汲取其他軟件工程師的成功經(jīng)驗和失敗教訓(xùn)。威脅攻擊組織也是如此。兩個不同的威脅攻擊組織可能會在其攻擊中使用同一來源的代碼，這意味著他們的攻擊會顯示相似性，盡管攻擊實際上是由不同的組織發(fā)起。有時，威脅攻擊組織可能會選擇包含來自另一個組織的特征，以挫敗分析人員，并誘導(dǎo)他們做出錯誤的溯源。

　　在Olympic Destroyer案例中，證據(jù)是什么，關(guān)于溯源我們可以得出什么結(jié)論呢？

　　The Lazarus Group也被稱為Group 77，是一個神秘的威脅攻擊組織，曾發(fā)起過大量攻擊。值得注意的是，The Lazarus Group的一個分支，被稱為Bluenoroff組，對孟加拉國一家銀行的SWIFT基礎(chǔ)設(shè)施進行了攻擊。

　　這兩個案例存在明顯的相似之處。盡管這一發(fā)現(xiàn)并不能說明問題，但這至少是一個線索。

　　BAE Systems同時又指出，Olympic Destroyer和與Bluenoroff相關(guān)的wiper惡意軟件之間也存在相似之處。在本例中，Bluenoroff wiper功能在左側(cè)，Olympic Destroyer wiper功能在右側(cè)：

　　顯然，代碼并不完全相同，但是僅擦除大文件的第一個0x1000字節(jié)這一非常特定的邏輯，在這兩個案例中完全相同且是獨一無二的。這是另一個線索，也是比文件名檢查更有力的證據(jù)。

　　但是，Bluenoroff使用的文件名和wiper功能均已記錄在案，并可被任何人利用。我們真正的罪魁禍?zhǔn)卓赡軙�添加文件名稱檢查，并模仿wiper功能，只是為了牽連The Lazarus Group，并潛在地掩護其真實身份。

　　23e5bb2369080a47df8284e666cac7cafc207f3472474a9149f88c1a4fd7a9b0

　　Bluenoroff樣本1：

　　ae086350239380f56470c19d6a200f7d251c7422c7bc5ce74730ee8bab8e6283

　　Bluenoroff樣本2：

　　5b7c970fee7ebe08d50665f278d47d0e34c04acc19a91838de6a3fc63a8e5630

　　Intezer Labs發(fā)現(xiàn)Olympic Destroyer與之前APT3和APT10的攻擊使用了相同的代碼。

　　Intezer Labs發(fā)現(xiàn)Olympic Destroyer與APT3使用的一種工具存在18.5%的相似度，用以從內(nèi)存中竊取證書。這可能是一個非常重要的線索。然而，APT3工具基于開源工具Mimikatz。由于Mimikatz可供任何人下載，因此Olympic Destroyer的作者完全有可能在其惡意軟件中使用來自Mimikatz的代碼，以將線索指向其他使用過該工具的惡意軟件作者。

　　Intezer Labs還發(fā)現(xiàn)Olympic Destroyer和APT10之間用于生成AES密鑰的功能存在相似之處。根據(jù)Intezer Labs的調(diào)查，這一特殊功能僅被APT10使用過。這也許是惡意軟件作者疏忽的一個非常重要的線索，可用來判斷其身份。

　　2017年6月的Nyetya（NotPetya）惡意軟件同樣也使用了衍生自Mimikatz的代碼，用于竊取證書。此外，與Nyetya一樣，Olympic Destroyer也通過濫用PsExec和WMI的合法功能橫向傳播。像Nyetya一樣，Olympic Destroyer使用命名管道將偷來的證書發(fā)送到主模塊。

　　與Nyetya不同的是，Olympic Destroyer沒有利用漏洞EternalBlue和EternalRomance進行傳播。但是，該攻擊組織已經(jīng)在Olympic Destroyer源代碼內(nèi)留下了偽裝，以暗示SMB漏洞的存在。

　　Olympic Destroyer在執(zhí)行時，會在運行過程中加載這些結(jié)構(gòu)，但未進行使用。顯然，作者知道EternalBlue PoC，但這些結(jié)構(gòu)存在的原因很模糊。很可能作者想給安全分析人員設(shè)一個陷阱，以挑起一個錯誤的肯定溯源。或者，我們可以看到功能的痕跡，但無法證明被用于了惡意軟件。

　　溯源挑戰(zhàn)重重。很少有分析人員能提供出可支持法庭做出判決的證據(jù)。許多人很快就會得出結(jié)論，并將Olympic Destroyer判定為特定的群體。然而，這種指責(zé)的基礎(chǔ)往往很薄弱。現(xiàn)在我們可能會看到惡意軟件作者放置了多個虛假標(biāo)志，這使得僅基于惡意軟件樣本的溯源變得撲朔迷離。

　　對于威脅攻擊組織，我們無法獲得確鑿的證據(jù)指證犯罪方。其他安全分析人員和調(diào)查機構(gòu)可能有進一步的證據(jù)，但我們無法訪問。即使有的組織擁有更多證據(jù)，例如信號情報或可能為溯源提供重要線索的人員情報來源，但他們可能不愿意分享其洞察，以免背叛其情報收集行動的性質(zhì)。

　　我們認為Olympic Destroyer攻擊顯然是一種大膽的攻擊，幾乎可以肯定是由一個具有一定水平的威脅攻擊組織發(fā)起的，他們不相信自己會很容易被發(fā)現(xiàn)并被追究責(zé)任。

　　我們相信威脅攻擊組織之間很可能會共享代碼。開源工具是功能的有用來源。通過借鑒其他組織成功發(fā)起的攻擊，并使用其中的技術(shù)，將會給分析人員提供錯誤的證據(jù)，導(dǎo)致他們做出錯誤的溯源。

　　同樣，我們預(yù)計高級威脅攻擊組織將會充分利用這一點，整合旨在欺騙分析人員的證據(jù)，以導(dǎo)致分析人員錯誤地將攻擊歸因于其他組織。威脅攻擊者可能會一邊讀著安全分析人員發(fā)布的錯誤信息，一邊暗自竊喜。極端情況下，國家也可以利用被迷惑的第三方由于錯誤溯源發(fā)布的證據(jù)，否認攻擊指控。每一次的錯誤溯源，都會讓攻擊組織隱藏起來。在這個虛假新聞高發(fā)的時代，溯源是一個高度敏感的問題。

　　隨著威脅攻擊組織不斷完善他們的技能和技術(shù)，我們很可能會看到威脅攻擊組織進一步采用各種手段來混淆溯源，讓溯源變得更加錯綜復(fù)雜。溯源絕非易事，而在未來這只會難上加難。

　　思科Talos團隊由業(yè)界領(lǐng)先的網(wǎng)絡(luò)安全專家組成，他們分析評估黑客活動、入侵企圖、惡意軟件以及漏洞的最新趨勢。ClamAV團隊和一些標(biāo)準(zhǔn)的安全工具書的作者中最知名的安全專家，都是思科Talos的成員。該團隊的專長涵蓋軟件開發(fā)、逆向工程、漏洞分析、惡意軟件的調(diào)查和情報收集等。思科Talos團隊同時也負責(zé)維護Snort.org，ClamAV，SenderBase.org和SpamCop中的官方規(guī)則集，同時得到了社區(qū)的龐大資源支持，使得它成為網(wǎng)絡(luò)安全行業(yè)最大的安全研究團隊。思科Talos作為思科安全情報的主要發(fā)掘提供團隊，為思科的安全研究和安全產(chǎn)品服務(wù)提供了強大的后盾支持，幫助思科的安全解決方案阻擋最新最復(fù)雜的攻擊。