Noll
På måndag, den Nationella It-Mission Force (CNMF), en underordnad enhet av US Cyber Command (USCYBERCOM), ange i rörelse en ny satsning där DOD skulle dela malware prover upptäcktes på sitt nätverk med de bredare it-samhället.
Den CNMF sparkade igång detta nya projekt genom att skapa ett konto på VirusTotal, en online-fil skanning service som även fungerar som en online malware arkiv, och genom att lägga upp två prover på skadlig kod.
Dessutom USCYBERCOM också skapat en ny Twitter-konto där det skulle twittra en länk till alla nya VirusTotal malware laddar upp.
USCYBERCOM beslut var uppfyllda med allmänt beröm av ledande röster från it privata sektorn.
“Detta är ett stort initiativ och vi tror att om fler regeringar skulle göra samma sak, skulle världen vara säkrare. Vi välkomnar egna initiativ och är naturligtvis betala nära uppmärksamhet till vad de laddar upp, säger Costin Raiu, Chef för Global Research & Analysis Team på Kaspersky Lab.
“Vi tror att med fler filer i VirusTotal ökar värdet för hela samhället,” säger Mike Wiacek, FORSKNINGSCHEF och grundare av Krönika, Alfabetet cyber-security-avdelningen och företaget bakom VirusTotal.
“I själva verket den första inlämningen, för LoJack malware, ingår filer som tidigare inte varit i VirusTotal,” Wiacek berättade ZDNet idag via e-post.
Som ny fil rpcnetp.dll en fil som tillsammans med den andra –rpcnetp.exe– har använts för att infektera offer med Computrace/LoJack/LoJax malware.
Craiu berättade ZDNet att Kaspersky har varit att följa denna malware för år, skadlig kod, som kom tillbaka till livet detta år i nya kampanjer, som upptäckts av Netscout och ESET.
LoJax är för närvarande den första dokumenterade fallet av en UEFI rootkit används i det vilda, och malware har varit knuten till APT28, ett alias som används för att identifiera en nation-state cyber-spionage grupp som har förknippats med flera västländer att Rysslands militära underrättelsetjänsten GRU.
USCYBERCOM beslut att göra dessa två särskilt skadlig kod prover sina första två uppladdningar inte gå obemärkt förbi infosec gemenskapen. Vissa sharped-eye förståsigpåare omedelbart kategoriseras det som ett nytt namn-och-skam ansträngning av Västerländska regeringar, som har varit mycket aktiva i år i att exponera och indicting Kinesiska, ryska, Iranska och nordkoreanska hackare.
“Det återstår att se exakt hur detta nya initiativ kommer att utvecklas,” John Hultquist, chef för analyser på FireEye berättade ZDNet i ett mail idag.
“Men vad är slående om detta initiativ är att den saknar många av de kontextuella delar av namn och skam strategi. Denna strategi innebär att en enorm mängd sammanhang som har att granskas i hela regeringen, detta initiativ skulle vara mindre belastade av dessa överväganden,” Hultquist sagt.
“Det kommer utan tvekan att fortfarande vara en strategi bakom dessa upplysningar, eftersom upplysningar alltid har konsekvenser för underrättelseverksamhet, men deras enkelhet kan tillåta enklare, snabbare åtgärder, något regeringen har historiskt kämpat med.”
Å andra sidan finns det dem som säkerhet forskare som medvetet hålla sig borta från politiskt laddad befogenheter när det handlar om APT malware.
Till exempel, i en intervju med ZDNet, Alexis Dorais-Joncas, Security Intelligence Team Lead på ESET, var mycket mer intresserad av hur USCYBERCOM är VirusTotal överföringar kan påverka ett APT-koncernens kommande verksamheten, snarare än de politiska undergång som följer.
“Så långt som att utsätta hacka toolsets, att det inte nödvändigtvis automatiskt göra de verktyg som är helt värdelös, men det är troligt att åtminstone orsaka angriparen att anpassa sig,” Dorais-Joncas berättade för oss. “Till exempel, ESET har varit att utsätta [APT28]’s verktygslåda utvecklingen för år, och ännu gruppen är fortfarande med en hel del av samma verktyg, om än med ytterligare förbättringar läggs över tid.”
“Jag skulle säga att exponera full [taktik, teknik och procedurer] på toppen av verkliga prover skulle vara mer skadligt för angripare som de skulle behöva för att ändra hela deras attack arbetsflöde (tror att sprida och smittospridning, uthållighet, protokoll, etc),” Dorais-Joncas sagt. “Det ser inte ut som USCYBERCOM tillhandahåller sådana sammanhang tillsammans med de prover de delar med sig, så att man kan begränsa uppsidan av deras initiativ.”
“Endast tiden kommer att berätta om proverna delas av USCYBERCOM kommer att dyka upp för att vara intressant för forskare eller inte – det beror egentligen på vad de väljer att dela med sig,” ESET forskare lagt till. “Jag är benägen att ge dem till förmån för tvivel för nu.”
Men infosec gemenskapen hade också en annan gripe med USCYBERCOM nya utbyte av erfarenheter, och det är med vad DOD betraktar som “oklassificerade malware prover.”
Både ESET: s Dorais-Joncas och FireEye är Hultquist delade samma åsikt om detta ämne-som även om den byrå som används termen “oklassificerade malware prover,” detta betyder inte nödvändigtvis att vi ska få din run-of-the-mill malware som adware och grundläggande dataöverföring.
“Detta arbete kan mycket väl utsätta oss för nya hot, som kräver seriös analys,” Hultquist sagt.
“Jag skulle inte heller förutsätta att oklassificerade skadlig kod automatiskt kommer redan vara kända för forskare,” Dorais-Joncas också lagt till.
“I allmänhet skulle jag säga fler exempel på delning kan endast leda till lika eller bättre skydd, eftersom varje nytt prov och säkerhet leverantörer kan få som hjälper dem att förbättra sin upptäckt av databaser och på så sätt bättre skydda sina respektive kunder.”
För Wiacek, Krönika CSO skulle mer än gärna se andra underrättelsetjänster och brottsbekämpande myndigheter för att följa i DOD: s fotspår.
“Vi bjuda in andra AMERIKANSKA och internationella organ för att delta i ett liknande sätt,” Wiacek sagt. “Vi är glada att se nya medlemmar i VirusTotal gemenskapen.”
Relaterade täckning:
Cisco bort sin sjunde bakdörr konto i år, och det är en bra sakStater aktivera National Guard it-enheter för OSS kongressvalet
Holländska polisen att avlyssna kriminella chattar genom att stoppa kryptering serverCIA Vault7 leaker att debiteras för läckande fler sekretessbelagda uppgifter och samtidigt i fängelset
NSA leaker Verkligheten Vinnare dömdes till över 5 år i fängelse CNETFientliga stater kommer att försöka dödliga angrepp på STORBRITANNIEN, varnar NCSCBlackTech APT stjäl D-Link certifikat för att sprida bakdörr TechRepublicOracle bekräftar China Telecom internet-trafik “vilseledande’
Relaterade Ämnen:
Regeringen – OSS
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0