回顾 2020 年 GitHub 的大事件

尽管研究人员没有发现负责部署加载程序及其加密的Bookcode有效载荷的恶意软件，但研究人员能够识别出加载程序样本。该文件负责加载位于系统文件夹中的名为gmslogmgr.dat的加密有效载荷。解密有效载荷后，加载程序会找到带有winmgmt，ProfSvc或Appinfo参数的服务主机进程(svchost.exe)，并将有效载荷注入其中。不幸的是，研究人员无法获取加密的有效载荷文件，但是研究人员能够在受害设备上重建恶意软件操作，并将其识别为研究人员向威胁情报报告客户报告的Bookcode恶意软件。

在执行时，Bookcode恶意软件会读取一个配置文件。虽然以前的Bookcode示例使用文件perf91nc.inf作为配置文件，但此版本从名为C_28705.NLS的文件读取其配置。该Bookcode示例具有与韩国互联网安全局(KISA)最近发布的综合报告中所述的恶意软件几乎相同的功能。如该报告第57页所述，一旦恶意软件启动，它将向受害者的基础结构发送有关受害者的信息。与C2服务器通信后，该恶意软件提供了标准的后门功能。

开发后(Post-exploitation)阶段

Lazarus组织使用Bookcode模块的活动具有自己独特的TTP，并且在此攻击示例中使用了相同的操作手法。

1.从注册表sam转储中提取受感染的主机信息，包括密码哈希值。

2.使用Windows命令来检查网络连接。

3.使用WakeMeOnLan工具扫描同一网络中的主机。

在2020年9月25日安装Bookcode之后，恶意软件操作员开始从受害者那里收集系统和网络信息。该恶意软件运营商还收集了一个包含密码哈希值的注册表sam转储:
 

最后，启动程序模块在远程进程中启动 [random 2 characters]svc.drv 文件。它搜索第一个svchost.exe进程并执行DLL注入。注入的 [random 2 characters]svc.drv 恶意软件包含用于解密和加载其嵌入式有效载荷的恶意例程。最终的有效载荷是wAgent，它负责从C2(可能是功能齐全的后门)中获取其他有效载荷，并将其加载到内存中。

Bookcode恶意软件模块

被Lazarus组织的Bookcode恶意软件盯上的制药公司正在开发新冠疫苗，并被授权生产和销售这些新冠疫苗。研究人员之前曾看到Lazarus使用Bookcode恶意软件攻击了韩国的一家软件公司，可能是针对该公司的源代码或供应链。研究人员还目睹Lazarus组织过去曾进行鱼叉式网络钓鱼或战略性网站攻击，以传播Bookcode恶意软件。但是，研究人员无法确定此事件的确切初始感染媒介。整个感染过程与ESET关于该主题的最新报告中描述的过程非常相似。
 

三、深度智能的未来趋势

1.成本降低

智能安防系统的成本远高于传统安防，随着AI技术的普及，单体产品和系统价格将会逐渐下降。随着上游软硬件国产化程度不断提高，传统监控产品价格下降至3600元左右，而AI监控系统价格在20000元左右，以现存公安监控系统为例，目前公安视频监控系统共有2300万路，以20%的AI升级换代计算，可以带来920亿元的市场增量。

2.算法标准统一

统一的协议标准是视频监控行业发展的必然趋势。人脸识别、视频结构化等AI技术的算法标准一致，供应商之间的协议标准统一，将会使得不同品牌前中后端互相识别，实现数据互通互享。

3.带宽容量进一步扩大

AI视频监控系统的海量数据会占据很大带宽容量，如果与客户的其他业务共用网络通道，将影响其他业务网络通信质量。边缘计算等新一代技术的应用将在一定程度上减少数据流量，但视频取证等功能仍然会占据较大的带宽，因此服务器等全部基础设施将会进一步提高。

安防行业作为人工智能技术天然的训练场和应用场，对于人工智能的落地应用有着迫切的需求，基于安防行业的天然属性，未来安防行业的人工智能化必将迎来巨大的发展。而当前人工智能技术的迅猛发展，积极推动着安防领域向着一个更智能化、更人性化的方向前进。

（编辑：鞍山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!