特洛伊行动剖析 韩国的网络间谍活动.PDFVIP

执行摘要 “特洛伊行动”剖析： 韩国的网络间谍活动 作者： 和 ® ； Ryan Sherstobitoff Itai Liba (McAfee Labs) James Walter （首席技术官办公室） 年 月 日韩国爆发了针对金融服务和媒体公司的 攻击事件，随之对此攻击事件 2013 3 20 DarkSeoul 发布了一些相关报告，此后，主引导记录 （ ， ）清除功能便成为多数人关注的 Master Boot Record MBR 焦点。受攻击感染的 硬盘中的所有数据都被清除。但是， 发现 攻击除了 PC McAfee Labs DarkSeoul 运用 MBR 功能之外，还蕴含了更广泛的技术和手段。 取证数据显示，DarkSeoul 实际上只是名为 “特洛伊行动”(Operation Troy) 的恶意软件开发计划最新爆发的一次攻击。之 所以使用 “特洛伊”这个名称是因为在恶意软件的编译路径字符串中发现重复引用了特洛伊古城的名字。这些攻击的主要 嫌疑组织是 New Romanic Cyber Army Team ，他们以在代码中大量使用罗马术语而著称。通过对 DarkSeoul 事件的调查 研究，McAfee Labs 发现此次攻击与始发于 2009 年的以韩国军事机构为目标的攻击有着相同的代码，据此揭露了一个长 期的国内间谍行动。 软件开发人员 （包括合法人员和犯罪人员）倾向于在他们的代码中留下指纹，有时甚至是足迹。取证研究人员可以通过这些 印迹识别代码的开发地点和时间。研究人员很少能够跟踪到某个产品的单个开发人员 （除非他们无意中粗心了）。但是， 这些人为因素经常可用来确定新 “产品”的最初来源和开发遗留代码。以 New Romanic Cyber Army Team 和 Poetry Group 为例，开发人员插入此类指纹有时是为了确立对新威胁的 “所有权”。McAfee Labs 利用复杂的代码分析和取证技术识 别出新威胁的来源，因为此类分析通常可以指示如何最大程度地减少攻击，或预测未来威胁的可能发展状况。 “特洛伊行动”的历史 “特洛伊行动”始于 年 特洛伊木马程序的出现。随后又发现了 种已知变体。 （请参见下面的示意图。）尽管 2010 NSTAR 7