遺傳惡意軟件分析的用例(以政府機(jī)構(gòu)為例) |
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-10-22 瀏覽次數(shù): |
信息來(lái)源:4hou 遺傳惡意軟件分析(Genetic Malware Analysis)技術(shù)基于識(shí)別與已知軟件的代碼相似性,可幫助政府機(jī)構(gòu)應(yīng)對(duì)以下網(wǎng)絡(luò)安全挑戰(zhàn): 1.威脅情報(bào):自動(dòng)提供對(duì)未知文件的逆向工程級(jí)別的分析,包括惡意軟件家族分類(lèi),YARA簽名,相關(guān)樣本和其他上下文。 2.歸因:事實(shí)證明,遺傳惡意軟件分析可以準(zhǔn)確地檢測(cè)并歸因于威脅行為者的復(fù)雜APT和惡意軟件。 3.加快事件響應(yīng)速度:通過(guò)自動(dòng)執(zhí)行文件和內(nèi)存分析過(guò)程,政府機(jī)構(gòu)可以減少誤報(bào),并立即對(duì)大規(guī)模的網(wǎng)絡(luò)事件進(jìn)行優(yōu)先級(jí)劃分,調(diào)查和響應(yīng)。 網(wǎng)絡(luò)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的威脅 政府機(jī)構(gòu)負(fù)責(zé)保護(hù)重要的基礎(chǔ)設(shè)施,也就是對(duì)國(guó)家經(jīng)濟(jì)和社會(huì)福祉至關(guān)重要的資產(chǎn)。例如,在美國(guó),有16個(gè)部門(mén)被指定為關(guān)鍵基礎(chǔ)設(shè)施,其中包括農(nóng)業(yè),關(guān)鍵制造業(yè),國(guó)防工業(yè)基礎(chǔ),金融服務(wù),信息技術(shù),能源和運(yùn)輸?shù)取? 對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅可能對(duì)國(guó)家安全,經(jīng)濟(jì)穩(wěn)定以及國(guó)家公共健康與安全產(chǎn)生致命的影響。這主要是因?yàn)樗嘘P(guān)鍵基礎(chǔ)設(shè)施部門(mén)在某種程度上都依賴于連接到Internet的網(wǎng)絡(luò)和系統(tǒng)。就像幾乎所有與Internet相連的資產(chǎn)一樣,這些網(wǎng)絡(luò)和系統(tǒng)也無(wú)法避免受到對(duì)手的侵害,這些對(duì)手擁有滲透和攻擊網(wǎng)絡(luò)領(lǐng)域目標(biāo)所需的技能,知識(shí)和資源。 不管這種攻擊背后的動(dòng)機(jī)是什么,后果都是很?chē)?yán)重的。例如,如果勒索軟件感染了控制一個(gè)國(guó)家能源網(wǎng)的網(wǎng)絡(luò)和系統(tǒng),其后果可能無(wú)法想象。受害者可能難以調(diào)節(jié)環(huán)境溫度,獲取自來(lái)水并使用電子設(shè)備進(jìn)行通信。如果網(wǎng)絡(luò)攻擊阻礙了緊急服務(wù)的訪問(wèn)(如過(guò)去的攻擊所證明的那樣),那么那些受眾人群將面臨更大的危險(xiǎn)。 用于政府機(jī)構(gòu)的遺傳惡意軟件分析用例 政府機(jī)構(gòu)可以利用遺傳惡意軟件分析來(lái)減少誤報(bào),并更準(zhǔn)確地檢測(cè),分類(lèi)和響應(yīng)更多的網(wǎng)絡(luò)威脅,包括諸如逃避和無(wú)文件惡意軟件之類(lèi)的高級(jí)威脅。 從提高檢測(cè)能力和增強(qiáng)威脅研究到歸因于國(guó)家資助的威脅和加快事件響應(yīng),以下是遺傳惡意軟件分析可幫助政府機(jī)構(gòu)解決其任務(wù)的一些用例: 用例1:豐富威脅情報(bào) 所有惡意軟件均包含可執(zhí)行的機(jī)器代碼,惡意軟件作者在編寫(xiě)新的惡意軟件時(shí)會(huì)重用代碼,因?yàn)樗归_(kāi)發(fā)和部署過(guò)程更快,更有效。隨著攻擊者繼續(xù)開(kāi)發(fā)新的惡意軟件,他們會(huì)建立代碼模式。對(duì)于防御者來(lái)說(shuō),這就為檢測(cè),惡意軟件家族分類(lèi),YARA簽名和相關(guān)樣本提供了關(guān)鍵信息。 遺傳惡意軟件分析基于進(jìn)化原理,即所有軟件(無(wú)論合法還是惡意)均由先前編寫(xiě)的代碼組成。遺傳惡意軟件分析技術(shù)將任何文件或二進(jìn)制文件分解為微小的代碼片段(也稱為基因),然后將代碼片段與大型基因組數(shù)據(jù)庫(kù)進(jìn)行比較,該數(shù)據(jù)庫(kù)包含來(lái)自已知受信任和惡意軟件的數(shù)十億個(gè)代碼片段。在幾秒鐘內(nèi)識(shí)別出每個(gè)代碼段的起源,可以立即為每一個(gè)警報(bào)提供逆向工程級(jí)別的洞察,包括: 1.警報(bào)是否包含惡意代碼,或者是誤報(bào)? 2.如果警報(bào)包含惡意代碼,那么它是什么特定類(lèi)型的威脅?例如,惡意軟件是廣告軟件還是勒索軟件?該問(wèn)題的答案將揭示惡意軟件的意圖,進(jìn)而幫助防御者更適當(dāng)?shù)卣{(diào)整其響應(yīng)。 該惡意軟件是否與以前以我的組織為目標(biāo)的事件有關(guān)? 3.威脅的復(fù)雜程度如何? 4.將惡意軟件分類(lèi)到相關(guān)的惡意軟件家族; 5.生成高級(jí)YARA規(guī)則以提高威脅搜尋能力; 這些見(jiàn)解將為安全團(tuán)隊(duì)(尤其是SOC和事件響應(yīng)功能)提供所需的環(huán)境,以更好地評(píng)估其組織面臨的風(fēng)險(xiǎn),確定警報(bào)的優(yōu)先級(jí)并更有效地調(diào)整其響應(yīng)。我們將在后面提到,遺傳惡意軟件分析是為自動(dòng)化而構(gòu)建的,這使安全團(tuán)隊(duì)能夠快速檢測(cè)、分類(lèi)和響應(yīng)大規(guī)模的日常警報(bào)。 用例2:歸因 政府機(jī)構(gòu)了解歸因于網(wǎng)絡(luò)威脅的重要性,特別是國(guó)家贊助的行為者對(duì)關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成了重大威脅。由于這些行為者是代表外國(guó)政府工作的,并得到外國(guó)政府經(jīng)常提供的資源的支持,因此,無(wú)論他們是獲得機(jī)密情報(bào)以支持軍事還是經(jīng)濟(jì),他們都趨于更加成熟,能夠成功地完成其預(yù)期的行動(dòng)優(yōu)勢(shì),或在發(fā)生外交爭(zhēng)端后對(duì)外國(guó)對(duì)手進(jìn)行報(bào)復(fù)。 WannaCry WannaCry于2017年5月部署,是歷史上規(guī)模最大的勒索軟件攻擊之一,感染了150個(gè)國(guó)家/地區(qū)的20多萬(wàn)臺(tái)電腦。在被攻擊的組織中有政府機(jī)構(gòu),其中一個(gè)是國(guó)家衛(wèi)生服務(wù)中心,該中心報(bào)告說(shuō),多達(dá)7萬(wàn)臺(tái)設(shè)備,包括電腦、核磁共振掃描儀和血液存儲(chǔ)冰箱可能受到了影響。 攻擊發(fā)生后不久,遺傳惡意軟件分析能夠立即識(shí)別WannaCry與以前不相關(guān)的惡意軟件家族Brambul,Joanap和Lazarus(當(dāng)時(shí)被認(rèn)為是朝鮮黑客)之間的明確代碼重用連接。代碼重用表明這些黑客工具是由同一位開(kāi)發(fā)者編寫(xiě)或修改的,在這方面Intezer公司是第一個(gè)將WannaCry攻擊歸咎于朝鮮的組織,先于領(lǐng)先的引擎和政府機(jī)構(gòu)。
MirageFox 在另一個(gè)示例中,繼2018年6月美國(guó)海軍承包商被黑客入侵以及海底戰(zhàn)中高度敏感的數(shù)據(jù)被盜之后,遺傳惡意軟件分析技術(shù)確定了Intezer研究人員命名為MirageFox的惡意軟件與以前的遠(yuǎn)程訪問(wèn)木馬之間的代碼重用( RAT)稱為Mirage,據(jù)信起源于2012年。通過(guò)分析代碼復(fù)用,Intezer發(fā)現(xiàn)MirageFox與APT15使用的Mirage變體共享了90%以上的代碼。
APT28 Sofacy,也稱為Fancy Bear或APT28,是隸屬于俄羅斯政府的網(wǎng)絡(luò)間諜組織。該組織自2000年代中期以來(lái)一直很活躍,據(jù)信是對(duì)德國(guó)議會(huì),白宮和北約的襲擊負(fù)責(zé)。 在下面的示例中,上傳到Intezer Analyze?的文件與Sofacy共享了90%以上的代碼。此外,其相關(guān)樣本與X-Agent特別相關(guān),X-Agent是該組織通常用來(lái)從受感染的端點(diǎn)竊取信息的工具。結(jié)果,該文件被自動(dòng)檢測(cè)為惡意文件,并歸因于APT28。
用例3:加速事件響應(yīng) 自動(dòng)化惡意軟件分析 惡意軟件分析很難擴(kuò)展,特別是政府機(jī)構(gòu)必須調(diào)查大量警報(bào),如果要確保事件不會(huì)越過(guò)裂縫,自動(dòng)化就變得至關(guān)重要。 基因惡意軟件分析技術(shù)是為自動(dòng)化而構(gòu)建的,使安全團(tuán)隊(duì)能夠自動(dòng)大規(guī)模調(diào)查可疑文件和終結(jié)點(diǎn),以確保不會(huì)對(duì)任何警報(bào)進(jìn)行調(diào)查。 Intezer Analyze?可以輕松地與SIEM和SOAR系統(tǒng)集成,以確保每個(gè)警報(bào)或可疑文件都能在很短的時(shí)間內(nèi)自動(dòng)分析。結(jié)果,組織能夠調(diào)查每個(gè)警報(bào),從而減少誤報(bào)的數(shù)量,并將精力集中在對(duì)更多實(shí)際威脅的響應(yīng)上。 自動(dòng)內(nèi)存分析 現(xiàn)代的端點(diǎn)保護(hù)解決方案將搜索諸如遠(yuǎn)程訪問(wèn)內(nèi)存或注冊(cè)表中的特定鍵之類(lèi)的模式,以警告異?;蚩梢尚袨?。在這方面,這些解決方案可有效防止受感染的文件或腳本進(jìn)入端點(diǎn)并在端點(diǎn)內(nèi)運(yùn)行。 但是,僅阻止惡意軟件還不夠,因?yàn)閻阂獯a仍可以在計(jì)算機(jī)內(nèi)存中運(yùn)行。 Intezer的端點(diǎn)分析解決方案可自動(dòng)執(zhí)行復(fù)雜的內(nèi)存分析過(guò)程,掃描并分析機(jī)器內(nèi)存中運(yùn)行的每段代碼。自動(dòng)化可以為安全團(tuán)隊(duì)節(jié)省寶貴的時(shí)間,并幫助他們檢測(cè)內(nèi)存中的高級(jí)威脅,例如惡意代碼注入,打包和無(wú)文件惡意軟件。 上面突出顯示的用例都可以可以協(xié)同工作,以幫助組織改進(jìn)和自動(dòng)化其安全操作并加速事件響應(yīng)。先進(jìn)的網(wǎng)絡(luò)威脅的存在和嚴(yán)重的警報(bào)使遺傳惡意軟件分析成為政府機(jī)構(gòu)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的必不可少的資源,以便正確有效地大規(guī)模應(yīng)對(duì)安全事件。通過(guò)實(shí)施遺傳惡意軟件分析技術(shù),政府機(jī)構(gòu)可以更準(zhǔn)確地檢測(cè),分類(lèi)和響應(yīng)更多的網(wǎng)絡(luò)威脅,尤其是來(lái)自復(fù)雜的APT的網(wǎng)絡(luò)威脅,以維護(hù)國(guó)家的安全,經(jīng)濟(jì)穩(wěn)定以及國(guó)家公共衛(wèi)生和安全。
|
下一篇:世界互聯(lián)網(wǎng)大會(huì):騰訊安全靈鯤摘得全球領(lǐng)先科技成果大獎(jiǎng) |