研究人員發現了BlackEnergy APT組織和上個月使用Expetr惡意軟件實施全球攻擊的背后操縱者之間的聯系。?BlackEnergy?的 KillDisk 勒索軟件?的舊版本和Expetr代碼有很強的相似性。2015年底，?烏克蘭電網分析報告中就表示，攻擊者跟?BlackEnergy 3 和KillDisk 相關，?報告還表示攻擊者仍有機會在其他國家發動類似的攻擊?。

卡巴斯基與Palo Alto安全公司展開協作

此次，卡巴斯基的研究人員稱, BlackEnergy?和 ExPetr 在有針對性的擴展組件中，首次發現了相似性。卡巴斯基實驗室與?Palo Alto?網絡的研究人員展開協作, 說他們 "專注于類似的擴展名列表，負責解析加密或清除文件系統的代碼"。卡巴斯基實驗室全球研究和分析小組的研究員在上周五的一篇文章中提到。

“我們試圖一起去建立一個功能列表，用來制定YARA規則，以檢測ExPetr和?BlackEnergy擦除器?。”

YARA?是一個工具，用于檢查不同的文件和目錄并找到基于簽名的相似性。

"我們對代碼進行自動比對, 并將結果按照簽名進行準確匹配，希望能夠找到其中的相似之初。我們將通用代碼和有趣的字符串進行組合, 形成統一的規則, 以甄別?BlackEnergy?KillDisk 組件和 ExPetr 的樣本, "

仔細檢查 BlackEnergy KillDisk 勒索軟件和 ExPetr擦除器惡意軟件中使用的代碼后, 發現了"低置信度" 的相似性。然而, 研究人員說, 當更多YARA規則投入檢測時, 相似性變得非常精確。

研究員表示

"當然, 這不能說兩者之間是有明確的聯系, 但它確實表明了這些惡意軟件家族之間的某些代碼設計的相似之處,"

這項研究可能有利于確定幕后的攻擊者，是誰在利用expetr和擦除器惡意軟件破壞了成千上萬的電腦。BlackEnergy apt組織早就知道使用0day, 破壞性的工具和惡意代碼，攻擊工業控制系統，它在2015年襲擊了烏克蘭電網，并在過去幾年中實施了一系列類似的破壞性攻擊。

卡巴斯基認為Expetr不能算勒索軟件 因為它并不解密

在過去的幾天里，Expetr一直被當做wiper惡意軟件而非最初認定的勒索軟件。雖然它也具有勒索組件，但即使受害者支付了贖金。Expetr也無法解密受害者的磁盤，

雖然在檢測中被證實了具有相似性，但是卡巴斯基實驗室的高級安全研究員Guerrero-Saade上周在與 Comae 技術公司的一次網絡研討會上說,

"你不能把這種沒有解密方法的攻擊的方式稱為勒索病毒”。

ESET安全公司也有研究稱?Expetr與BlackEnergy有關

ESET 的類似研究也發現了 ExPetr 和 BlackEnergy 之間的聯系。根絕ESET的研究，跟?BlackEnergy有關聯的TeleBots組織?也和Expetr的爆發有關。ExPetr惡意軟件中的KillDisk加密模塊正帶著TeleBots的印記。他們表示，

“在攻擊的最后階段，TeleBots總是使用KillDisk惡意軟件來覆蓋某些文件，這些文件在受害者磁盤上具有特定文件擴展名。”

BlackEnergy 和 TeleBots 都有針對烏克蘭關鍵基礎設施和銀行實施攻擊的歷史。ExPetr 爆發被認為源于烏克蘭金融軟件供應商MEDoC的更新機制。此外, 攻擊還導致烏克蘭城市 Bakhmut 的政府網站被破壞, 并被用于通過驅動器下載的方式傳播惡意病毒。

卡巴斯基實驗室的研究人員寫道:

"這種低置信度, 但讓人執著的預感, 促使我們向世界各地的其他研究人員發出邀請，邀請你們與我們一起調查這些相似之處, 找尋更多關于 ExPetr/Petya起源的真想。”

北約合作網絡防御中心認為?ExPetr攻擊很可能是國家行為

另外, 北約合作網絡防御中心 (ccd coe) 的研究人員認為, ExPetr 攻擊很可能是國家行為。?他們在6月30日發布的聲明中稱,

"在2017年6月27日，NotPetya (或 ExPetr) 惡意軟件在全球爆發，并攻擊了位于烏克蘭、歐洲、美國和俄國的多個機構，這極有可能是國家行為。"

然而, 北約國際網絡安全部門表示, 目前還不清楚到底是誰在幕后襲擊。ccd??coe 報告稱:

"在任何政府的競選活動中,都缺乏明確的強制措施, 因此禁止干預并不起作用”。

根據 ccd coe 聲明提示稱, 網絡攻擊引發的現實世界影響，能夠觸發北大西洋公約5條, 其中可能包括軍事反應。

"但是, 目前沒有關于這種影響的報告,"

原文發布時間：2017年7月4日 本文由：threatpost發布，版權歸屬于原作者 原文鏈接:http://toutiao.secjia.com/blackenergy-expetr 本文來自云棲社區合作伙伴安全加，了解相關信息可以關注安全加網站

總結

以上是生活随笔為你收集整理的真执着 卡巴斯基和Palo Alto找到了BlackEnergy和ExPetr的相似代码的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。