恶意软件也有“指纹” 或催生新入侵侦测形式

日期: 2010-07-20 来源:TechTarget中国 英文

  如果对恶意软件进行仔细分析,我们会发现编写这些代码的黑客所留下的“指纹”。与现行的入侵侦测形式相比,这就相当于黑客一生中的特征。在下周召开的2010年度黑帽会议上,与会者将为我们展示这一研究成果。HBGary 公司首席执行官Greg Hoglund称,分析恶意软件可执行文件的二进制代码还可以揭示关于攻击代码意图,以更为有效的进行数据防护。Hoglund将在拉斯维加斯召开的会议上做名为《恶意软件的归属:追踪网络间谍和数字犯罪》的演讲。

  Hoglund称,分析将揭示工具痕迹—-编写恶意代码的环境特征。这有助于识别编写代码的个人或团体使用的是什么工具。

  比如说,他的研究看到了恶意软件执行文件背后的黑客“指纹”,包括对Back Orifice 2000、Ultra VNC远程控制电脑软件和2002微软编辑指南代码的使用。每一个程度都被进行了少量的修改,但是所获得的信息足以形成一个完整的“指纹”。

  恶意软件是一种远程访问工具(RAT),诸如Poison Ivy的RAT生成器能够为每次使用创建独特的RAT代码,这并不是黑客所能选择的。Hoglund称,在其它的恶意软件中识别这个RAT能够将恶意软件代码与普通的作者或团队联系起来。

  他发现这些“指纹”已经有相当长的一段时间了。一旦编写,这些二进制代码自身很少会被改变。所以将这些指纹作为恶意软件的特征在很长一段时期将更为有效。Hoglund称:“这些坏家伙不会频繁变动他们的代码。”

  传统的反病毒平台可识别恶意软件的变种。这一研究能够催生新的入侵侦测形式。它们将会深入分析恶意软件以发现这些指纹,然后将其分配给一个根据恶意软件意图组建的威胁应对小组。

  他举例称,如果恶意软件被设计用来窃取个人的信用卡账号,那么与窃取公司知识产权的恶意软件相比,公司可能将把前者列为对公司威胁较低的恶意软件。

  Hoglund称:“你无法成功的将这些坏家伙拒之你的网络之外。但是如果你能尽早的发现他们,你就能防止损失。”

  在他的谈话中,Hoglund称他将展示一些图表。指纹的匹配程度,这些图表对他们的团队所检测的50万个恶意软件进行了归类。他称他希望向人们展示这50万个恶意软件进行分类后数量将减少,其将变成数百个而不是数千个。

  如果情况真如他所说的那样,使用这些指纹作为恶意软件的特征进行探测,入侵侦测引擎将把重点放在过滤恶意软件上,而不再是恶意软件入侵时使用的外 壳。由于攻击者更改他们的代码速度很慢,因此这也意味着将建立起一个更为稳定的恶意软件特征库。这些IDS特征将会在很长一段时间内有效工作。

  为了实现这些,IDS需要安装在代码执行的终端,其能够作为一个人类可读取的文本在电脑内存中被察看。在网络层中,打包的可执行文件不会显示这些属性。

  在会议上,Hoglund计划公布一个名为Fingerprint的工具。这个工具能够分析和比对不同恶意软件的相似性。公司能够使用这一工具确定可识别的黑客编写了什么代码,以及它们的意图是什么。

  这一方法能够帮助公司识别他们是受到了一次协同攻击,还是一次随机攻击。Hoglund称,通过这种类型的分析他发现了一个可识别的黑客对国防部进行了攻击,而五年前这名黑客还攻击了一个军事基地。

  “指纹”表明攻击者是同一人。攻击者使用的语言开发环境表明了攻击者来自的国家,其所使用的一些源代码也正是该国黑客网站上的代码副本。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • AI网络安全如何阻止攻击以及黑客将如何应对

    随着我们的数字生活变得更加自动化、集成化和高度连接,安全风险也随之增加;2018年充斥着各种攻击和隐私丑闻,包 […]

  • 信息化晨报0117:中小企业互联网化了吗?

    信息化晨报每天将为您筛选昨夜今晨IT市场最值得关注的新闻资讯及行业分析。今天关注第33次CNNIC调查中,中小企业互联网应用情况分析。企业对互联网的需求可谓越来越高,在无线网络容量问题方面企业又有哪些可以借鉴的思路?又该如何应对网络传播恶意软件呢?

  • MTC报告:网络攻击者商业思维日益提升

    瞻博网络发布的第三份年度移动威胁报告显示:移动恶意软件正在快速增长和演变,成为对攻击者而言有利可图的业务,从2012年3月到2013年3月,移动恶意软件威胁呈现指数级增长,增长率为614%。

  • IT业界面临的九大最严峻安全威胁

    本文列举了如今IT业界面临的九大最严峻安全威胁,例如网络犯罪集团的兴起、骡与洗钱组织支持下的小型技术团队、黑客行动主义者、知识产权盗窃与商业间谍活动……