¿Cómo se pueden determinar los autores de Malware? [duplicar]

Navega tus respuestas
4

Mi pregunta es:

¿Cómo podemos sacar conclusiones acerca de los autores de malware cuando alguien podría simplemente obtener muestras de malware en línea, copiar y pegar las partes que les gustan y agregar sus propias partes?

Obviamente, hay muchos tipos de malware que esta pregunta también se aplicaría, pero usaré WannaCry como ejemplo. La sospecha se basó en muchas técnicas y partes lógicas utilizadas en los archivos maliciosos porque algunas eran idénticas al malware utilizado por los grupos norcoreanos anteriormente.

Pero durante este video el reportero incluso dice que esto podría ser una artimaña de algún otro actor del estado nacional. Parece que cualquier suposición con respecto a los autores de malware se hace solo por razones políticas, ya que nadie puede garantizar que esta composición particular de datos binarios esté relacionada en absoluto con un grupo en particular.

Me pregunto si unas pocas líneas de ensamblaje coincidente (ver video) es una justificación suficiente para publicar titulares como este, poniendo al público en general al borde de Cyber War One, cuando podría haber sido literalmente una veinteañera. que tuvo acceso a cualquier posible carpeta de spam?

EDIT:

Soy consciente de que a veces ciertos artefactos en el código pueden ayudar a averiguar quién podría haberlo escrito, pero en el video parece que se está conectando un gobierno a un ciberataque mundial basado en instrucciones de montaje. Esto parece diferente a dejar accidentalmente la dirección de los autores en la información de Whois, u olvidarse de eliminar las credenciales codificadas.

    
pregunta PositriesElectron 06.06.2017 - 20:27
fuente

1 respuesta

7

Los informes de los medios de comunicación no son el lugar al que acudir para este tipo de cosas. Si consulta el informe de Symantec, obtendrá muchos más detalles. Afirman que WannaCry es probablemente creado por un equipo llamado Lazarus Group, y específicamente afirman que este malware no encaja con el patrón que podría esperar de un esfuerzo nacional-estatal.

enlace

En particular, dicen:

  1. El comando en red & la infraestructura de control entre este ataque y otro ataque de Lazarus es similar, usando algunas de las mismas direcciones IP.

  2. Los softwares manejan buffers de red y comunicaciones de red de manera idéntica, específicamente usan algunos de los mismos valores constantes.

  3. Los softwares tienen un gran conjunto de cadenas repetidas en el binario.

  4. El software genera números criptográficos de la misma manera.

  5. Los softwares tienen al menos una función compartida entre ellos.

Lo que esto significa es que estos dos softwares comparten alguna conexión. O bien el mismo grupo es responsable de escribirlos, o están escritos por dos grupos que comparten código e infraestructuras de red, o podría ser el caso de que alguien haya hecho todo lo posible para que parezca que existe una autoría común cuando no hay. No es prácticamente posible que no haya una relación y todo lo anterior es solo una posibilidad aleatoria total.

Algunas personas han tratado de afirmar que el Grupo Lazarus es un grupo de estados nacionales de Corea del Norte, pero realmente no hay ninguna evidencia que lo respalde. Algunos de sus primeros ataques fueron contra el gobierno de Corea del Sur y Sony, pero esto es bastante circunstancial. También han atacado objetivos no surcoreanos y no japoneses.

    
respondido por el David 06.06.2017 - 21:25
fuente

Lea otras preguntas en las etiquetas

¿Por qué es lento el descifrado RSA? Seguridad web: uso de cookies en https