我的问题是:
当任何人都可以在线获取样本恶意软件,复制粘贴他们喜欢的部分并添加自己的部分时,我们如何才能对恶意软件作者做出任何结论?
显然,这个问题也适用于许多类型的恶意软件,但我将使用 WannaCry 作为示例。怀疑是基于恶意文件中使用的许多技术和逻辑部分,因为其中一些与朝鲜组织之前使用的恶意软件相同。
但在这段视频中,记者甚至说这可能是其他民族国家演员的诡计。似乎任何关于恶意软件作者的假设都是出于政治原因,因为没有人可以保证二进制数据的这一特定组成与一个特定组完全相关。
我想知道几行匹配的程序集(见视频)是否足以发布这样的头条新闻,让公众对第一次网络战争持谨慎态度,而实际上它可能是一个 20 岁左右的人可以访问到任何可能的垃圾邮件文件夹?
编辑:
我知道有时代码中的某些人工制品可以帮助找出可能是谁编写的,但在视频中,它们看起来像是将政府与基于汇编指令的全球网络攻击联系起来。这似乎与不小心将作者地址留在 whois 信息中或忘记删除硬编码凭据不同。
主流媒体报道不是这类东西的去处。如果您查看赛门铁克的报告,您将获得更多详细信息。他们声称 WannaCry 可能是由一家名为 Lazarus Group 的机构编写的,并特别声称这种恶意软件不符合您可能期望的民族国家努力的模式。
https://www.symantec.com/connect/blogs/wannacry-ransomware-attacks-show-strong-links-lazarus-group
他们特别说:
这次攻击和另一次 Lazarus 攻击之间的网络命令和控制基础设施是相似的,使用一些相同的 IP 地址。
这些软件以相同的方式处理网络缓冲区和网络通信,特别是它们使用一些相同的常量值。
这些软件在二进制文件中有大量重复的字符串。
这些软件以相同的方式生成密码数字。
这些软件之间至少有一个共享功能。
这意味着这两个软件共享一些联系。要么是同一个小组负责编写它们,要么它们是由共享代码和网络基础设施的两个小组编写的,或者可能是有人竭尽全力让它看起来好像有共同的作者身份那没有。实际上不可能没有关系,以上所有只是完全随机的机会。
有些人试图声称拉撒路集团是朝鲜民族国家集团,但实际上并没有任何证据支持这一点。他们的一些早期攻击是针对韩国政府和索尼的,但这是相当间接的。他们还袭击了非韩国和非日本的目标。