查看原文
其他

美国网络司令部开始将外国 APT 恶意软件上传至 VirusTotal

Catalin Cimpanu 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:360代码卫士团队

周一,美国网络司令部 (USCYBERCOM) 网络国家任务部队 (CNMF) 着手准备推出一项新计划,国防部将据此和更广泛的网络安全社区共享在网络上所发现的恶意软件样本。

为启动这个新项目,CNMF 在VirusTotal 上创建了一个新账户并且上传了两个恶意软件样本。另外,美国网络司令部还创建了一个新的推特账户,将发布链接至所有新上传的 VirusTotal 恶意软件。

美国网络司令部的这一决定受到网络安全私营企业的一致好评。

卡巴斯基实验室国际研究及分析团队主管 Costin Raiu 表示,“这是一项很棒的计划,我们认为如果更多的政府能做出同样的举措,那么世界将变得更加安全。我们欢迎这项措施的推出,而且当然也会密切关注所上传的内容。”

Alphabet 网络安全部所属兼 VirusTotal 母公司 Chronicle 公司的首席安全官兼联合创始人 Mike Wiacek 表示,“我们认为 VirusTotal 获得更多的文件将提升对整个社区的价值。”另外,他表示,实际上提交的 LoJack 恶意软件中就包含此前 VirusTotal 未收录的文件。这份新文件就是 rpcnetp.dll,它和第二个文件 rpcnetp.exe 被用于通过 Computrace/LoJack/LoJax 恶意软件感染受害者。

Craiu 表示,卡巴斯基多年来一直在追踪这款恶意软件,而 Netscout 和 ESET 公司表示,它在今年出现在新的攻击活动中。LoJax 标志着首个 UEFI 后门遭利用,而它被指和 APT28 之间存在关联。

暗藏政治意图?

美国网络司令部决定率先上传这两个恶意软件样本也引发了信息安全圈子的注意。眼尖的安全研究员立即将其归类于西方政府做出的点名批评之举。

火眼公司的情报分析主管 John Hultquist 表示,这项新计划的开展方式仍然有待观察。但让人吃惊的是,这项计划缺乏很多点名批评战略的上下文因素。虽然这一战略设计政府需要审查的大量上下文,但举措本身可能并不会受这些因素的影响。他认为,这些披露行为背后肯定有某种战略的支撑,因为披露行为总是会对情报运作产生影响,但其表现出的这种简单性可能会允许更简单更快速的行为,这是政府一直以来都在努力解决的问题。

另一方面,也有安全研究员在处理 APT 恶意软件时有意远离政治归因。

例如,ESET 公司的安全情报团队负责人 Alexis Dorais-Joncas 就对网络安全司令部此举将对 APT 组织的未来行动产生什么样的影响更感兴趣,而不是政治归因。

Dorais-Joncas认为,就揭露黑客工具集而言,它不一定会自动使工具完全失效,但至少可能会导致攻击者做出调整。暴露实际样本的全部战术、技术和程序会对攻击者造成更大的伤害,因为他们需要改变整个攻击流程。美国网络安全司令部似乎并未随样本一起提供这类上下文,因此可能会导致计划的积极成果打折扣。只有时间会验证美国网络司令部上传的样本是否会引起安全研究人员的兴趣,这取决于他们选择共享的内容。

非机密性质?

信息安全社区还对被国防部认为是“非机密的恶意软件样本”的这项新的分享举措表达了抱怨之情。

Dorais-Joncas和 Hultquist 在这一点上意见一致,认为即使使用了“非机密恶意软件样本”的描述,并不一定意味着所获得的是广告软件和基础的下载程序。

Hultquist 表示,这一做法可能会导致遭受新的需要进行认真分析的新威胁。Dorais-Joncas 也指出,他不认为非机密恶意软件自动地为研究人员所知。一般而言,更多的样本分享仅可导致同样的或更好的保护措施,因为安全供应商所获得的任意新样本能帮助他们改进检测数据库从而更好地保护客户的安全。Wiacek 表示更愿意看到其它情报和执法机构会追随国防部的步伐。




推荐阅读

陆军网络司令部拨款650万美元对抗内部威胁


原文链接

https://www.zdnet.com/article/us-cyber-command-starts-uploading-foreign-apt-malware-to-virustotal/#ftag=RSSbaffb68




本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存