研究人员分析发现来自Lazarus、Silent Chollima、Group 123、Hidden Cobra、DarkSeoul、Blockbuster、Operation Troy、10 Days of Rain的攻击都来自朝鲜。那么这些攻击组织之间有没有什么关系呢？这些攻击组织与WannaCry又有什么关系呢？McAfee和Intezer研究人员通过代码重用分析了朝鲜恶意软件家族、攻击活动和攻击组织之间的关系。

代码重用

研究人员在调查网络威胁时发现朝鲜发起了多个网络攻击活动。在朝鲜，黑客的技能决定了为哪个网络攻击组织工作。研究人员发现朝鲜活动的两个关注点是挣钱和达到国家目的。第一批攻击者会为国家收集金钱，甚至黑进金融机构、劫持赌博会话、出售盗版和破解的软件进行犯罪行为。Unit
180就是负责利用黑客技术来非法收集外币的组织。第二批攻击者会从其他国家收集情报、破坏敌对国家和军事目标等达到国家目的，Unit
121就是这样的组织。

时间线

本文描述了恶意软件样本和有名的攻击活动的时间线。

图1: 恶意软件和攻击活动的时间线

恶意软件家族关系图

研究人员发现许多恶意软件家族名都与朝鲜网络活动相关。为了更好的理解这些攻击者和攻击活动之间的相似性，研究人员使用了Intezer的代码相似性检测引擎勾画出大量恶意软件家族之间的关系。

下图是这些关系的概览图，每个节点表示一个恶意软件家族或攻击中使用的恶意工具，每条边表示两个恶意软件家族之间的代码相似性。边的粗细表示代码之间的相似度。定义相似度时只考虑唯一的代码联系，不考虑常见的代码和库。

图2: 朝鲜恶意软件家族之间的代码相似度概览图

图中可以看出几乎所有的恶意软件家族之间都存在大量的代码相似，研究中的样本大都是未分类的。上图只使用了几百个样本，所以全图中的关系可能更加复杂。

分析

研究人员在研究中发现了之前没发现的一些代码相似的情况。经过分析之后，研究人员对其进行了关联。以SMB模块为例：

代码样本出现在WannaCry（2017）、Mydoom（2009）、Joanap和DeltaAlfa的SMB（server
message
block，服务器消息块）模块中。这些恶意软件家族共享的代码还有CodeProject项目的AES库。这些攻击最终对归结于Lazarus组织，也就是说该组织至少从2009到2017年都在重用代码。

图3: Mydoom样本的代码重叠

下面是攻击中常见的SMB模块代码块，有别于WannaCry 和Mydoom。

图4: 攻击中常见的SMB模块

研究人员对比分析了WannaCry的三个主要变种，2017年2月和4月的beta版以及5月的版本；可以得出下面的结果：

图5: WannaCry代码比较

识别攻击组织

通过比较和代码块识别，研究人员发现了恶意软件家族和攻击组织之间的关系。

图6:通过代码重用分析出的攻击组织与恶意软件家族的关系

Lazarus组织的恶意软件的代码重用比较多，同时也是许多朝鲜网络活动名，从中可以看出不同恶意软件家族和攻击活动之间的关系。

恶意软件NavRAT、赌博、Gold Dragon应该是Group 123创建的，这件软件之间彼此关联，但与Lazarus使用的恶意软件是分开的。虽然是针对不同区域的攻击单元，他们看起来是一个合作的并行架构。

MITRE攻击

从恶意软件样本的分析中，可以识别出他们使用的一些技术：