遗传歹意软件剖析的用例(以政府机构为例) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

遗传歹意软件剖析的用例(以政府机构为例)

申博_安全工具 申博 58次浏览 未收录 0个评论

菲律宾申博

菲律宾申博自与农展馆合作以来,拓展了业务战线,深化了服务体系,整合了群体,在未来的2019年,将能更好地为菲律宾申博网的会员提供更优质的服务。

,

遗传歹意软件剖析的用例(以政府机构为例)

遗传歹意软件剖析(Genetic Malware Analysis)手艺基于辨认与已知软件的代码相似性,可协助政府机构应对以下收集平安应战:

1.要挟谍报:自动供应对未知文件的逆向工程级别的剖析,包括歹意软件家属分类,YARA署名,相干样本和其他上下文。

2.归因:事实证实,遗传歹意软件剖析可以准确地检测并归因于要挟行为者的庞杂APT和歹意软件。

3.加快事宜相应速度:经由历程自动实行文件和内存剖析历程,政府机构可以削减误报,并马上对大规模的收集事宜举行优先级分别,观察和相应。

收集对症结基础设施的要挟 

政府机构担任庇护重要的基础设施,也就是对国度经济和社会福祉至关重要的资产。比方,在美国,有16个部门被指定为症结基础设施,个中包括农业,症结制造业,国防工业基础,金融效劳,信息手艺,动力和运输等。

对症结基础设施的收集要挟可以对国度平安,经济稳定以及国度大众康健与平安发作致命的影响。这重要是因为一切症结基础设施部门在某种水平上都依靠于衔接到Internet的收集和体系。就像险些一切与Internet相连的资产一样,这些收集和体系也没法防备遭到敌手的损害,这些敌手具有渗入和进击收集范畴目的所需的妙技,学问和资本。

不论这类进击背地的效果是什么,效果都是很严峻的。比方,假如讹诈软件感染了掌握一个国度动力网的收集和体系,其效果可以没法设想。受害者可以难以调治环境温度,猎取自来水并运用电子装备举行通讯。假如收集进击障碍了紧要效劳的接见(如过去的进击所证实的那样),那末那些受众人群将面对更大的风险。

用于政府机构的遗传歹意软件剖析用例

政府机构可以应用遗传歹意软件剖析来削减误报,并更准确地检测,分类和相应更多的收集要挟,包括诸如回避和无文件歹意软件之类的高等要挟。

从进步检测才能和加强要挟研讨到归因于国度资助的要挟和加快事宜相应,以下是遗传歹意软件剖析可协助政府机构处理其使命的一些用例:

用例1:雄厚要挟谍报

一切歹意软件均包括可实行的机械代码,歹意软件作者在编写新的歹意软件时会重用代码,因为它使开辟和布置历程更快,更有用。跟着进击者继承开辟新的歹意软件,他们会竖立代码形式。关于防御者来讲,这就为检测,歹意软件家属分类,YARA署名和相干样本供应了症结信息。

遗传歹意软件剖析基于进化道理,即一切软件(不管正当照样歹意)均由先前编写的代码构成。遗传歹意软件剖析手艺将任何文件或二进制文件分解为细小的代码片断(也称为基因),然后将代码片断与大型基因组数据库举行比较,该数据库包括来自已知受信托和歹意软件的数十亿个代码片断。在几秒钟内辨认出每一个代码段的劈头,可以马上为每一个警报供应逆向工程级别的洞察,包括:

1.警报是不是包括歹意代码,或者是误报?

2.假如警报包括歹意代码,那末它是什么特定范例的要挟?比方,歹意软件是广告软件照样讹诈软件?该题目的答案将展现歹意软件的企图,进而协助防御者更适当地调解其相应。

该歹意软件是不是与之前以我的构造为目的的事宜有关?

3.要挟的庞杂水平怎样?

4.将歹意软件分类到相干的歹意软件家属;

5.天生高等YARA规则以进步要挟征采才能;

CVE-2019-17498: libssh2整数溢出破绽

研究人员发现libssh2中存在漏洞,但是该漏洞并不是位于openssh中,所以不影响ssh的使用。Libssh2是一个客户端C语言库,可以让应用连接到SSH服务器。但漏洞也并不位于libssh中,libssh值是一个提供与libssh2类似功能的不相关的C函数库。 该漏洞位于libssh2 v1.9.0及之前版本中,截至目前,该bug已经在master分支修复,但含有补丁的官方发布版本还没有正式发布。 该漏洞是一个越界读漏洞,可能会导致DoS或远程信息泄露。当libssh2被用于连接恶意SSH服务器时该漏洞就会被出发。

这些看法将为平安团队(尤其是SOC和事宜相应功用)供应所需的环境,以更好地评价其构造面对的风险,肯定警报的优先级并更有用地调解其相应。我们将在背面提到,遗传歹意软件剖析是为自动化而构建的,这使平安团队可以疾速检测、分类和相应大规模的一样平常警报。

用例2:归因

政府机构相识归因于收集要挟的重要性,迥殊是国度资助的行为者对症结基础设施构成了严峻要挟。因为这些行为者是代表外国政府事情的,并得到外国政府常常供应的资本的支撑,因而,不管他们是取得秘要谍报以支撑军事照样经济,他们都趋于越发成熟,可以成功地完成其预期的行为上风,或在发作交际争端后对外国敌手举行报复。

WannaCry

WannaCry于2017年5月布置,是汗青上规模最大的讹诈软件进击之一,感染了150个国度/区域的20多万台电脑。在被进击的构造中有政府机构,个中一个是国度卫生效劳中间,该中间报告说,多达7万台装备,包括电脑、核磁共振扫描仪和血液存储冰箱可以遭到了影响。

进击发作后不久,遗传歹意软件剖析可以马上辨认WannaCry与之前不相干的歹意软件家属Brambul,Joanap和Lazarus(当时被认为是朝鲜黑客)之间的明白代码重用衔接。代码重用表明这些黑客东西是由统一位开辟者编写或修正的,在这方面Intezer公司是第一个将WannaCry进击归咎于朝鲜的构造,先于抢先的引擎和政府机构。

遗传歹意软件剖析的用例(以政府机构为例)

MirageFox

在另一个示例中,继2018年6月美国海军承包商被黑客入侵以及海底战中高度敏感的数据被盗以后,遗传歹意软件剖析手艺肯定了Intezer研讨人员命名为MirageFox的歹意软件与之前的长途接见木马之间的代码重用( RAT)称为Mirage,据信劈头于2012年。经由历程剖析代码复用,Intezer发明MirageFox与APT15运用的Mirage变体同享了90%以上的代码。

遗传歹意软件剖析的用例(以政府机构为例)

APT28

Sofacy,也称为Fancy Bear或APT28,是隶属于俄罗斯政府的收集特务构造。该构造自2000年代中期以来一向很活泼,据信是对德国议会,白宫和北约的突击担任。

鄙人面的示例中,上传到Intezer Analyze™的文件与Sofacy同享了90%以上的代码。另外,其相干样本与X-Agent迥殊相干,X-Agent是该构造一般用来从受感染的端点盗取信息的东西。效果,该文件被自动检测为歹意文件,并归因于APT28。

遗传歹意软件剖析的用例(以政府机构为例)

用例3:加快事宜相应

自动化歹意软件剖析

歹意软件剖析很难扩大,迥殊是政府机构必需观察大批警报,假如要确保事宜不会超出裂痕,自动化就变得至关重要。

基因歹意软件剖析手艺是为自动化而构建的,使平安团队可以自动大规模观察可疑文件和终结点,以确保不会对任何警报举行观察。

Intezer Analyze™可以轻松地与SIEM和SOAR体系集成,以确保每一个警报或可疑文件都能在很短的时候内自动剖析。效果,构造可以观察每一个警报,从而削减误报的数目,并将精神集合在对更多现实要挟的相应上。

自动内存剖析

当代的端点庇护处理方案将搜刮诸如长途接见内存或注册表中的特定键之类的形式,以正告非常或可疑行为。在这方面,这些处理方案可有用防备受感染的文件或剧本进入端点并在端点内运转。

然则,仅阻挠歹意软件还不够,因为歹意代码仍可以在计算机内存中运转。 Intezer的端点剖析处理方案可自动实行庞杂的内存剖析历程,扫描并剖析机械内存中运转的每段代码。自动化可认为平安团队节约珍贵的时候,并协助他们检测内存中的高等要挟,比方歹意代码注入,打包和无文件歹意软件。

上面凸起显现的用例都可以可以协同事情,以协助构造革新和自动化其平安操纵并加快事宜相应。先进的收集要挟的存在和严峻的警报使遗传歹意软件剖析成为政府机构庇护症结基础设施的必不可少的资本,以便准确有用地大规模应对平安事宜。经由历程实行遗传歹意软件剖析手艺,政府机构可以更准确地检测,分类和相应更多的收集要挟,尤其是来自庞杂的APT的收集要挟,以保护国度的平安,经济稳定以及国度大众卫生和平安。

本文翻译自:https://www.intezer.com/blog-genetic-malware-analysis-use-cases-government-agencies/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明遗传歹意软件剖析的用例(以政府机构为例)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址