信息來源:4hou
遺傳惡意軟件分析(Genetic Malware Analysis)技術基于識別與已知軟件的代碼相似性,可幫助政府機構應對以下網(wǎng)絡安全挑戰(zhàn):
1.威脅情報:自動提供對未知文件的逆向工程級別的分析,包括惡意軟件家族分類����,YARA簽名,相關樣本和其他上下文��。
2.歸因:事實證明��,遺傳惡意軟件分析可以準確地檢測并歸因于威脅行為者的復雜APT和惡意軟件���。
3.加快事件響應速度:通過自動執(zhí)行文件和內(nèi)存分析過程��,政府機構可以減少誤報�,并立即對大規(guī)模的網(wǎng)絡事件進行優(yōu)先級劃分���,調(diào)查和響應����。
網(wǎng)絡對關鍵基礎設施的威脅
政府機構負責保護重要的基礎設施,也就是對國家經(jīng)濟和社會福祉至關重要的資產(chǎn)�����。例如�,在美國,有16個部門被指定為關鍵基礎設施�����,其中包括農(nóng)業(yè)����,關鍵制造業(yè),國防工業(yè)基礎��,金融服務���,信息技術�,能源和運輸?shù)取?
對關鍵基礎設施的網(wǎng)絡威脅可能對國家安全����,經(jīng)濟穩(wěn)定以及國家公共健康與安全產(chǎn)生致命的影響。這主要是因為所有關鍵基礎設施部門在某種程度上都依賴于連接到Internet的網(wǎng)絡和系統(tǒng)。就像幾乎所有與Internet相連的資產(chǎn)一樣�����,這些網(wǎng)絡和系統(tǒng)也無法避免受到對手的侵害�����,這些對手擁有滲透和攻擊網(wǎng)絡領域目標所需的技能�,知識和資源。
不管這種攻擊背后的動機是什么���,后果都是很嚴重的。例如����,如果勒索軟件感染了控制一個國家能源網(wǎng)的網(wǎng)絡和系統(tǒng),其后果可能無法想象���。受害者可能難以調(diào)節(jié)環(huán)境溫度��,獲取自來水并使用電子設備進行通信���。如果網(wǎng)絡攻擊阻礙了緊急服務的訪問(如過去的攻擊所證明的那樣),那么那些受眾人群將面臨更大的危險。
用于政府機構的遺傳惡意軟件分析用例
政府機構可以利用遺傳惡意軟件分析來減少誤報��,并更準確地檢測����,分類和響應更多的網(wǎng)絡威脅,包括諸如逃避和無文件惡意軟件之類的高級威脅��。
從提高檢測能力和增強威脅研究到歸因于國家資助的威脅和加快事件響應����,以下是遺傳惡意軟件分析可幫助政府機構解決其任務的一些用例:
用例1:豐富威脅情報
所有惡意軟件均包含可執(zhí)行的機器代碼,惡意軟件作者在編寫新的惡意軟件時會重用代碼�,因為它使開發(fā)和部署過程更快,更有效�����。隨著攻擊者繼續(xù)開發(fā)新的惡意軟件��,他們會建立代碼模式�。對于防御者來說,這就為檢測����,惡意軟件家族分類,YARA簽名和相關樣本提供了關鍵信息。
遺傳惡意軟件分析基于進化原理��,即所有軟件(無論合法還是惡意)均由先前編寫的代碼組成��。遺傳惡意軟件分析技術將任何文件或二進制文件分解為微小的代碼片段(也稱為基因)����,然后將代碼片段與大型基因組數(shù)據(jù)庫進行比較,該數(shù)據(jù)庫包含來自已知受信任和惡意軟件的數(shù)十億個代碼片段�����。在幾秒鐘內(nèi)識別出每個代碼段的起源��,可以立即為每一個警報提供逆向工程級別的洞察����,包括:
1.警報是否包含惡意代碼���,或者是誤報��?
2.如果警報包含惡意代碼����,那么它是什么特定類型的威脅?例如�,惡意軟件是廣告軟件還是勒索軟件?該問題的答案將揭示惡意軟件的意圖�����,進而幫助防御者更適當?shù)卣{(diào)整其響應��。
該惡意軟件是否與以前以我的組織為目標的事件有關�����?
3.威脅的復雜程度如何?
4.將惡意軟件分類到相關的惡意軟件家族�;
5.生成高級YARA規(guī)則以提高威脅搜尋能力;
這些見解將為安全團隊(尤其是SOC和事件響應功能)提供所需的環(huán)境�,以更好地評估其組織面臨的風險,確定警報的優(yōu)先級并更有效地調(diào)整其響應��。我們將在后面提到����,遺傳惡意軟件分析是為自動化而構建的,這使安全團隊能夠快速檢測���、分類和響應大規(guī)模的日常警報����。
用例2:歸因
政府機構了解歸因于網(wǎng)絡威脅的重要性,特別是國家贊助的行為者對關鍵基礎設施構成了重大威脅��。由于這些行為者是代表外國政府工作的��,并得到外國政府經(jīng)常提供的資源的支持����,因此,無論他們是獲得機密情報以支持軍事還是經(jīng)濟�����,他們都趨于更加成熟��,能夠成功地完成其預期的行動優(yōu)勢����,或在發(fā)生外交爭端后對外國對手進行報復��。
WannaCry
WannaCry于2017年5月部署���,是歷史上規(guī)模最大的勒索軟件攻擊之一����,感染了150個國家/地區(qū)的20多萬臺電腦。在被攻擊的組織中有政府機構���,其中一個是國家衛(wèi)生服務中心��,該中心報告說����,多達7萬臺設備�,包括電腦、核磁共振掃描儀和血液存儲冰箱可能受到了影響���。
攻擊發(fā)生后不久���,遺傳惡意軟件分析能夠立即識別WannaCry與以前不相關的惡意軟件家族Brambul,Joanap和Lazarus(當時被認為是朝鮮黑客)之間的明確代碼重用連接����。代碼重用表明這些黑客工具是由同一位開發(fā)者編寫或修改的,在這方面Intezer公司是第一個將WannaCry攻擊歸咎于朝鮮的組織�,先于領先的引擎和政府機構。
MirageFox
在另一個示例中���,繼2018年6月美國海軍承包商被黑客入侵以及海底戰(zhàn)中高度敏感的數(shù)據(jù)被盜之后���,遺傳惡意軟件分析技術確定了Intezer研究人員命名為MirageFox的惡意軟件與以前的遠程訪問木馬之間的代碼重用( RAT)稱為Mirage�,據(jù)信起源于2012年�����。通過分析代碼復用����,Intezer發(fā)現(xiàn)MirageFox與APT15使用的Mirage變體共享了90%以上的代碼。
APT28
Sofacy�,也稱為Fancy Bear或APT28,是隸屬于俄羅斯政府的網(wǎng)絡間諜組織�����。該組織自2000年代中期以來一直很活躍���,據(jù)信是對德國議會�,白宮和北約的襲擊負責�����。
在下面的示例中�����,上傳到Intezer Analyze?的文件與Sofacy共享了90%以上的代碼��。此外�����,其相關樣本與X-Agent特別相關�,X-Agent是該組織通常用來從受感染的端點竊取信息的工具。結果�����,該文件被自動檢測為惡意文件����,并歸因于APT28。
用例3:加速事件響應
自動化惡意軟件分析
惡意軟件分析很難擴展�,特別是政府機構必須調(diào)查大量警報,如果要確保事件不會越過裂縫�,自動化就變得至關重要。
基因惡意軟件分析技術是為自動化而構建的�,使安全團隊能夠自動大規(guī)模調(diào)查可疑文件和終結點�,以確保不會對任何警報進行調(diào)查�。
Intezer Analyze?可以輕松地與SIEM和SOAR系統(tǒng)集成,以確保每個警報或可疑文件都能在很短的時間內(nèi)自動分析����。結果,組織能夠調(diào)查每個警報���,從而減少誤報的數(shù)量�,并將精力集中在對更多實際威脅的響應上�。
自動內(nèi)存分析
現(xiàn)代的端點保護解決方案將搜索諸如遠程訪問內(nèi)存或注冊表中的特定鍵之類的模式,以警告異?��;蚩梢尚袨?��。在這方面,這些解決方案可有效防止受感染的文件或腳本進入端點并在端點內(nèi)運行�。
但是,僅阻止惡意軟件還不夠����,因為惡意代碼仍可以在計算機內(nèi)存中運行。 Intezer的端點分析解決方案可自動執(zhí)行復雜的內(nèi)存分析過程,掃描并分析機器內(nèi)存中運行的每段代碼����。自動化可以為安全團隊節(jié)省寶貴的時間�����,并幫助他們檢測內(nèi)存中的高級威脅����,例如惡意代碼注入,打包和無文件惡意軟件����。
上面突出顯示的用例都可以可以協(xié)同工作,以幫助組織改進和自動化其安全操作并加速事件響應����。先進的網(wǎng)絡威脅的存在和嚴重的警報使遺傳惡意軟件分析成為政府機構保護關鍵基礎設施的必不可少的資源,以便正確有效地大規(guī)模應對安全事件���。通過實施遺傳惡意軟件分析技術����,政府機構可以更準確地檢測,分類和響應更多的網(wǎng)絡威脅�����,尤其是來自復雜的APT的網(wǎng)絡威脅�,以維護國家的安全,經(jīng)濟穩(wěn)定以及國家公共衛(wèi)生和安全���。
