Tras el rastreo del malware WannaCry en Corea del Norte, ¿cómo se rastrea el malware en un país específico?
Cómo pienso esto podría hacerse:
¿Qué otros métodos hay?
La resolución de la entidad y solo la inteligencia general es una gran parte de ella.
Cuando encontramos un malware y lo revocamos y encontramos caracteres cirílicos u otros indicadores de que el atacante es, digamos, ruso, y C + C llama a la dirección IP A.B.C.D, se nota. Cada bit de información que aprendemos sobre una campaña se registra en algún repositorio de inteligencia. Parte de esta información se comparte con otras instituciones o se obtiene a través de proveedores de inteligencia de terceros. Aprendemos de ellos, ellos aprenden de las amenazas que existen.
Luego, más adelante, podremos ver un nuevo malware emergente. Esta vez, hicieron un mejor trabajo al eliminar los identificadores lingüísticos del código, por lo que no tenemos ninguna sugerencia de inicio en cuanto al entorno de origen. Pero observamos que llama a dominios similares como esta otra pieza de malware que vimos, o también llega a A.B.C.D (lo que indica una infraestructura compartida). O llega a un nombre de dominio registrado a un nombre que hemos visto aparecer en otras campañas.
La geolocalización de IP en sí misma suele ser una pista falsa, ya que la mayoría del tráfico se enruta a través de botnets o Tor. Sin embargo, el hecho de que dos piezas únicas de malware puedan llegar a la misma ubicación (independientemente de lo que sea) indica similitudes entre las campañas, por lo que lo relacionamos con la información que ya sabemos sobre los ataques existentes.
Las similitudes en el código también suelen ser una pista falsa; Gran parte del malware se clasifica como malware "básico", lo que significa que cualquiera que sepa dónde encontrarlo puede comprarlo "listo para usar", por así decirlo. Entonces, si escribo algo para robar dinero de los bancos suizos, puedo venderlo a la mafia rusa, a un adolescente israelí oa un actor del gobierno chino de todos modos. Ahora, los tres parecen estar usando código con sugerencias lingüísticas de los Estados Unidos. / Canadá / Reino Unido como fuente.
También, sorprendentemente, muchos gobiernos miran hacia otro lado cuando se trata de piratear instituciones en países extranjeros. Cuando vemos un malware que no se dirige específicamente a un país determinado, generalmente es un indicador de que la fuente en sí es ese país: ningún ruso quiere que lo atrapen pirateando un banco nacional cuando, literalmente, no hay consecuencias si solo lo hacen con un banco estadounidense. en su lugar.