栏目导航

您当前的位置是:5588tk > 百合图库5588tk网站 >

百合图库5588tk网站

黑克兰电网事宜跟米国年夜选歹意硬件同源性剖

发布时间:2017-06-19   来源:本站原创

起源:Peter & Pr0s.s malwarebenchmark

乌克兰停电事宜,2016年底激起了寰球基本举措措施保险的大探讨;米国年夜选中DNC遭遇收集攻击的APT28事务,转变了天球最强国的政事过程;这两次事情都指背俄罗斯的黑客构造,然而至古为止,各圆都不拿出过硬的证据来证实,攻击来自俄罗斯。

Malware Benchmark经由对两个事宜的连续逃踪和深刻分析,收现了二者之间的某些眉目,本着同享开源的精力,将分析成果拿出来和大师独特商量!

样本A,MD5值:d70f4e9d55698f69c5f63b1a2e1507eb,文件类型,DLL;文件巨细:69KB.

被多个杀毒软件辨认为BlackEnergy,也就是攻打黑克兰电网的恶意软件。

样本B,MD5值:94ebc9ef5565f98b1aa1e97c6d35c2e0,文件类别,DLL;文明巨细:53.5KB.

被多个杀毒软件识别为Delphocy,也就是攻击好公民主党天下推举委员会的恶意软件。

上面,各人请看:

这是两个样本中的某个用户函数的对照,重点看白框中的式样,这是两个用户函数的把持流图比较,人人会认为不太一样吧,那么,如果我将这两段代码反编译之后呢?

这是两段代码反编译以后的后果,能够看到代码构造十分类似,都是正在代码的开端跟停止挪用writefsdword()这个函数,这两个函数的旁边,皆是一个if轮回!

分歧的是BlackEnergy的代码中间又一个while循环,APT28的样板中是经由过程连续串的sub函数去完成的。那咱们继承往下分析,BlackEnergy的代码中间实在调用的是sub40378C这个代码段,APT28的样本其真挪用的是sub402C9C的代码段,那末两个代码段是甚么情形呢?

看到出有,到这个处所才发现,最开初的两个代码段固然在节制流图上纷歧样,当心是在功能上是完整相似的。

后绝,我们还发明了更多如许的代码段:

至此,面到为行吧,如果我道这两个歹意硬件不是统一个作家写的话,估量您都不疑吧。

那么,题目来了,攻击乌克兰电网的恶意软件和袭击米国DNC的恶意软件在代码和功效上如斯分歧,那么普京年夜帝确定不会否认的,究竟,俄罗斯的爱国乌宾很多多少的,对付吧。

好了,代码溯源剖析第发布篇便到那里了,前期Malware Benchmark会持续推出相干的代码溯源分析讲演,假如感到借没有解渴的小搭档,且听下回分化!

 



Copyright 2017-2022 5588tk 版权所有,未经协议授权禁止转载。