从索尼黑客告状书看IT安详的5个履历教导

对朝鲜黑客朴镇赫的告状书包括有源自FBI观测的有代价信息，可供公司企业防止相同的进攻。

2018年8月，美国司法部(DoJ)发布了对朝鲜特工朴镇赫的告状书，称其是索尼黑客变乱和WannaCry打单软件的背后黑手。这份170多页的文档由FBI洛杉矶办公室的 Nathan Shields 撰写，展示了FBI是怎样运用一系列严谨的取证说明本领找出各类进攻的执行要领。

安详研究职员给朴镇赫所属的黑客组织取了许多混名，好比 Lazarus Group、APT37、Lab 110、Group 123、Hidden Cobra、Nickel Academy和Reaper。于是，从告状书中起首可以看出：朝鲜是已往6年来环球多起黑客勾当的中心。

虽然，朝鲜当局必定是要否定朴镇赫的存在的，这些收集罪行也必定与朝鲜当局无关。政治上的事临时岂论，我们不妨看看FBI发明白什么，又有哪些履历教导是CISO和其他IT司理可以小心的。

FBI是怎么发明索尼变乱背后黑客的

从法令角度阅读该告状书没什么意义，不如看看文档中反应出来的朝鲜渗出美国收集的刻意与毅力。

FBI乐成跟踪了朴镇赫的数字踪迹。此人被派驻中国领土都市，明面上的身份是朝鲜当局为袒护其军事黑客动作而设的幌子公司“朝鲜博览公司”的人员。在索尼黑客变乱发作前，他回到了朝鲜。

起首，FBI体系性地分解了其行使的恶意软件，成立了3起索尼数据泄漏变乱和3个WannaCry版本的进攻时刻线。

索尼变乱中的恶意软件包括有1万个硬编码的主机名，表现出黑客暗藏在索尼收集中数月，举办了普及深入的研究。该恶意软件还含有专门针对索尼收集中特定Unix/Linux体系的进攻代码。

初次进攻在2014年12月发作，但黑客的侦察在2014年秋日就做好了。进攻正亏得《刺杀金正恩》影戏刊行前发作。这部影戏是黑客提倡进攻的念头之一。

进攻者行使了许多其他针对性元素，包罗伪装成发自索尼员工Facebook账户的鱼叉式收集垂纶邮件。这些垂纶邮件都包括有带传染了恶意软件的附件。其他邮件被发往预定在圣诞节首映该影片的AMC院线员工。与索尼一样，这些邮件也都含有恶意附件，只不外没能乐成渗出AMC的收集。

用来进攻索尼的统一批电子邮件和IP地点还被用于进攻某英国制片公司，由于这家公司其时在建造一部朝鲜相干的独立电视剧集。John Carlin 的《代码战役来临》一书活跃具体地描写了索尼蒙受的一系列进攻和其他民族国度收集可怕分子的其他收集打击勾当。

2016年，统一批朝鲜黑客还入侵了SWIFT付出收集，偷取多家东南亚银行的资金。FBI称，这些黑客从2014年秋日开始就盯上了这几家银行。银行传染的后门措施通过自界说的二进制协议通讯，走该协议的流量看起来很像TLS通讯流量。这几家亚洲银行传染的恶意软件和索尼收集传染的恶意软件都含有一个安详删除函数，可以回溯到统一批朝鲜黑客身上。

朴镇赫及其朋友很忙：2017年用水坑进攻对多家波兰银举措手——侦察事变始于2016年秋。统一批电子邮件和Facebook账户，以及朝鲜IP地点，在入侵美国企业的进攻中也有现身，被入侵企业包罗洛克希德马丁公司和多家韩国企业。Brambul和Destover也在朝鲜黑客建设的恶意软件之列。

俄罗斯收集安详公司Group-IB发布的研究说明功效佐证了FBI的发明。他们的陈诉是在2017年年中宣布的，且同样将这些黑客勾当关联到了一路。

最后，上述黑客变乱中所用恶意软件的代码模块还呈此刻了WannaCry打单软件里，好比IP和电子邮件地点等很能声名题目的要害身分。WannaCry着实有3个差异版本，但全都可以通过通用代码和共享的比特币钱包关联起来。

朝鲜的呼吁与节制基本办法触角广布

告状书中泛起的朝鲜呼吁与节制(C&C)基本办法的漫衍之广令人震惊。C&C处事器散布在美国、南非、沙特阿拉伯、波兰和其他国度。电子邮件账户也是通过环球多个VPN和署理处事器会见，表现出他们防溯源事变做得异常缜密。进攻行使了多款后门和木马，通过大量Gmail账户和卖弄Facebook账号发送。下图表现的就是朴镇赫所用的各类账户。

更令人难以置信的是，直到最近，朝鲜整个国度都只有约1000个公网IP地点和很是低的带宽毗连可用。以是，2016年1月，一帮混混黑客就对朝鲜ISP提倡了DDoS进攻，作为索尼黑客变乱的反扑。

CISO和IT司理能从中学到的

告状书中描写的朝鲜黑客勾当给IT安详带来了5条履历教导。

1. 收集垂纶意识培训很重要

AMC院线没有步索尼被黑后尘，是由于他们实习得更多，防止更好。意识培训是个恒久一连的进程。黑客体例收集垂纶邮件的技能不绝精进，编出的邮件内容看起来像真的一样，还用内部信息、企业符号及邮件模板，尚有险些完全相像的域名和邮件地点来拐骗收件人点击。

许多供给商都提供意识培训项目，包罗 Wombat Security、KnowBe4、MediaPro.com 和SANS研究所。此类项目标方针应是在一个持续的轮回中评估、教诲、强化和丈量。另外，还应思量怎样鼓励用户，让培训不那么沉重乏味，晋升培训的有用度。

2. 评估入侵检测体系

企业必要更好的早期预警入侵检测机制。朝鲜黑客在索尼和其他收集中逡巡了数月之久，摸清了该冲击哪些处事器和假充哪些雇员账户。假如公司入侵检测体系(IDS)无法检测入侵者，那就该改换其他办理方案了。

黑客攻陷的每个方针都是全心挑选的，并做了细致的研究以晋升其收集垂纶邮件和水坑的乐成率。除了AMC院线，他们在渗出其他公司收集和恒久内部试探拣选正确方针上都极其乐成。

3. 强化收集脱离

作为IDS的增补，公司收集脱离也应加固。索尼的收集就没分别好，黑客可以很轻易地在个中横向移动。应将数据断绝在各得意当的处所。

4. 审计会见节制

是时辰审计公司收集节制了。搜查哪些雇员拥有打点员权限，相识这些权限是否过于宽泛。

5. 执行红队演练

举办红队演练以发明瑕玷。完备陈诉包括红队可用于确定公司收集可被索尼黑客所用同种战术攻陷的细节。抱负状态下，在上述几个要害题目都办理了之后再举办红队演练。

John Carlin 的《代码战役来临》地点：

https://www.amazon.com/Dawn-Code-War-Americas-Against/dp/1541773837

Group-IB陈诉地点：

https://www.prnewswire.com/news-releases/group-ib-reports-north-korean-hackers-attack-global-banks-for-money-and-data-theft-300465491.html

【本文是51CTO专栏作者“”李少鹏“”的原创文章，转载请通过安详牛（微信公家号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!