Dopo che il malware WannaCry è stato rintracciato in Corea del Nord, come viene tracciato il malware in un determinato paese?
Come posso pensare questo potrebbe essere fatto:
Quali altri metodi ci sono?
La risoluzione delle entità e solo l'intelligenza generale ne costituiscono gran parte.
Quando rileviamo malware e lo facciamo invertire e troviamo caratteri cirillici o altri indicatori che l'aggressore è, per esempio, russo, e la C + C richiama l'indirizzo IP A.B.C.D, viene notato. Ogni piccola informazione che apprendiamo su una campagna viene registrata in un repository di intelligence di qualche tipo. Alcune di queste informazioni vengono condivise con altre istituzioni o fornite da fornitori di servizi di intelligence di terze parti. Impariamo da loro, imparano da noi su quali minacce esistono.
Successivamente, potremmo vedere apparire nuovi malware. Questa volta, hanno fatto un lavoro migliore rimuovendo gli identificatori linguistici dal codice in modo da non avere alcun suggerimento iniziale sull'ambiente di origine. Ma osserviamo che richiama domini simili come questo altro pezzo di malware che abbiamo visto, oppure si rivolge a A.B.C.D (che indica l'infrastruttura condivisa). Oppure raggiunge un nome di dominio registrato con un nome visualizzato in altre campagne.
La geolocalizzazione IP di solito è un'aringa rossa, poiché la maggior parte del traffico viene instradata attraverso botnet o Tor. Tuttavia il fatto che due pezzi unici di malware possano raggiungere lo stesso luogo (indipendentemente da cosa sia) indica la comunanza tra le campagne, quindi lo correlhiamo con le informazioni che già conosciamo sugli attacchi esistenti.
Anche le somiglianze nel codice sono di solito una falsa pista; molto malware è classificato come malware "di base", il che significa che chiunque sappia dove trovarlo può semplicemente comprarlo "di serie" per così dire. Quindi, se scrivo qualcosa per rubare denaro dalle banche svizzere, posso venderlo alla mafia russa, ad un adolescente israeliano o ad un attore del governo cinese lo stesso, ora tutti e tre sembrano usare il codice con accenni linguistici dell'America / Canada / Regno Unito come fonte.
Inoltre, abbastanza divertente, molti governi guardano dall'altra parte quando si tratta di hackerare le istituzioni in paesi stranieri. Quando vediamo malware che in particolare non ha come target un determinato paese, è generalmente un indicatore che la fonte stessa è quel paese-- nessun russo vuole essere scoperto a hackerare una banca nazionale quando non c'è letteralmente alcuna conseguenza se lo fanno solo con una banca americana invece.