卡巴斯基表示NSA被泄漏的恶意软件的确真实存在
E安全8月17日讯 知名安全厂商对Equation Group恶意软件进行了检测与分析,并表示其确实为The Shadow Brokers的根源所在。
卡巴斯基方面于日前确认称,由The Shadow Brokers于上周末在GitHub上泄露出的恶意软件样本真实存在,且与其2015年2月分析过的Equation Group恶意软件样本颇为相似。
在此次案例当中,卡巴斯基实验室全球研究与分析团队(简称GReAT)指出,他们之所以能够得出二者相关的结论,是因为The Shadow Brokers给出的恶意软件中存在着RC5与RC6加密算法。
卡巴斯基方面指出,在过去一年当中,只有Equation Group曾经在其恶意软件中使用过这两种算法。
线索:RC5、RC6以及编码模式
在当初对Equation Group恶意软件进行初步分析时,卡巴斯基方面表示其共发现了20种采用RC5与RC6代码的不同恶意软件样本。而转回目前,此次The Shadow Brokers恶意软件的泄露数据内则存在347项不同恶意软件样本。
另外,卡巴斯基团队还发现流出恶意软件中的编码模式与且仅与Equation Group的黑客工具存在相似之处。其技术细节解释如下:
“在Equation Group恶意软件当中,加密库利用常量0x61C88647进行减法运算。在大多数已经公布的RC5/6代码当中,这一常量通常被存储为0x9E3779B9,即相当于-0x61C88647。由于在特定硬件之上加法的运算速度高于减法,因此将此常量以负值形式保存从而将减法转换为加法具有实际意义。”
卡巴斯基公司的GReAT团队还指出,他们“拥有相当的信心认定”目前由The Shadow Brokers散布至网络的恶意软件样本与此前Equation Group所使用过的恶意软件有关。
目前正在对Equation Group恶意软件的其余部分进行拍卖。该组织共发布了347项恶意软件样本进行免费预览,并表示将为赢得拍卖者提供另外一组多款黑客工具。
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。