DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

游戏盾_服务器高防哪家便宜_免费试用

01-12 CC防护

游戏盾_服务器高防哪家便宜_免费试用

分类学是一门基于共同特征命名、定义和分类生物有机体的科学。从根本上说,自从瑞典博物学家卡尔·林奈(Carl Linnaeus)在300多年前提出了统一命名系统的框架以来,这是一种允许科学家在没有混淆或重叠的情况下研究有机体的组织方案。今天的威胁研究人员同样可以从应用类似的组织原则来对付恶意软件中获益。在本文中,VMRay高级研究分析师塔马斯博赞(Tamas Boczan)和SANS分析师杰克•威廉姆斯(Jake Williams)解释了为什么恶意软件系列标识很重要,恶意软件系列的具体构成,以及如何在战术上使用这种识别来改进事件响应。什么是恶意软件家族?虽然有数百万个不同的恶意软件样本,但其中许多样本可以归为多个家族,集群部署防御ddos,这表明不同的恶意软件家族具有共同的特征,如代码库或编写原始病毒株的开发组,所有其他衍生成员都可以从中追踪到。正如SANS研究所分析师Jake Williams所解释的那样,"当我们谈论一个恶意软件家族时,它不仅仅是共享一些共同血统的恶意软件。相反,我们讨论的是与另一个示例共享其大部分代码的示例。"恶意软件作者创建恶意软件变体的主要方法之一是通过使用构建器,允许他们自定义恶意软件的某些功能,而无需重新编译。Williams说,"构建器不需要声明恶意软件家族,但是可以肯定的是,任何具有构建器的恶意软件都符合家族定义,因为你用相同的核心代码(只是不同的配置)大量生产出一个又一个样本。"为什么家庭识别很重要?知道一个特定的恶意软件样本是否是已知系列的一部分,如何帮助减轻它?家庭识别为安全研究人员提供了一个重要的背景,有助于加速识别和缓解已知的压力。Williams建议下载一些像Yara这样的免费规则共享组,但是警告说由于分类方案和规则一样好,可能会出现误报。作为VMRay的首席安全分析师,Tamas将大部分时间花在分析恶意软件样本上,并指出,"尽管一个样本在静态上可能有很大的不同,但对于同一个家族来说,其行为仍然几乎相同。因此,如果我每天都看到相同的沙盒报告,那么我就知道这些样本是一个家庭的一部分。"虽然某些恶意软件示例在程序集或机器代码级别静态看起来可能非常不同,但它们在运行时的行为实际上是相同的。威廉姆斯提供了一个类似的例子,即特种部队如何根据工作环境使用不同的迷彩服。尽管在沙漠环境和林地环境中,他们可能会出现表面上的不同,不管他们在外面穿什么,他们仍然以同样的方式执行命令。识别出一个特定的菌株作为一个家族的一部分,也可以大大加快事件响应者的缓解过程。正如Williams解释的那样,"我需要更多地了解攻击者对恶意软件做了什么。如果我知道这是一个已知家族的一部分,我就可以开始分解攻击者以前使用过的一些技术和交易技巧。"野外恶意软件家族识别Williams接着展示了一个特定的恶意软件菌株是否可以归因于一个已知的家族是如何相互关联的,这可以提供一些有价值的见解。例如,对于某些勒索软件,多服务器防御ddos,他解释说,"家庭识别可以帮助我评估付费获得解密密钥的可能性……如果我能识别出家庭成员,并能识别出这个群体的声誉,对吧,那将对我有很大帮助。"为了展示快速的家庭识别如何提高事故响应团队的效率和响应能力,Williams提供了三个不同的案例研究:1) Plug-X在第一次发射时几乎只被中国黑客等民族国家所使用,但后来当它的建造者被泄露到一般领域时,其他组织也采用了它。2) Emotet,传统上被认为是一种银行特洛伊木马,但现在却显示为其他恶意软件毒株的感染载体(通常表示更为贴切的后续行为;3) 达摩勒索软件,第一批被归类为勒索软件即服务的品种之一。威廉姆斯在结束他的网络研讨会部分时总结说,将恶意软件识别为家庭的一部分,"让从业者对事件有了更完整的了解。记住,恶意软件是一种工具。就像手中的锤子一样,我可以挥动它,香港阿里云怎么防御ddos,也可以打碎东西。但在木匠手中,它就变成了一种完全不同的工具。"在网络研讨会的后半部分,VMRay的高级威胁研究员Tamas Boczan深入研究了沙盒可用于识别恶意软件家族的技术,然后从他的一些研究中提供了一些示例,以演示如何将这些实践应用于实际样本。静态与动态分析家族分类的第一个直觉通常是只运行静态分析或将样本上传到VirusTotal,以查看防病毒供应商如何标记样本。这种方法很少得到正确的家庭分类结果。静态扫描新样本所提供的标签是不准确的-静态防病毒扫描的主要目标只是确定样本是否恶意。防病毒引擎提取文件的静态属性,并进行很短的模拟器运行。基于以这种方式收集到的关于样本的数据,他们定义启发式方法来将样本标记为恶意或干净。这些启发式方法通常足以做出二元决策,app防御cc,但它们无法正确识别家族。为了实现家族识别,无包装的有效载荷是必要的。这就是动态分析的用武之地。然后可以使用调试器在有效负载上运行。在这一点上,签名引擎实际上拥有它做出正确决策所需的数据。一种自动提取有效负载的方法是沙盒的内存转储特性。正如塔马斯所解释的那样,"然而,ddos大流量攻击防御,以自动化的方式完成这项工作并不简单,这就是为什么应该考虑使用沙箱进行解包。它大大简化了流程,并自动化了通常非常手动的流程。"在下面的片段中,Tamas展示了如何使用内存转储中的签名来标识Emotet,并标识了这个特定Emotet示例正在使用的模块。基于hypervisor的监视的好处Tamas接着解释了VMRay独特的基于hypervisor的监视所提供的一些优势。与VMRay不同,大多数沙盒都是基于API挂钩的。它们监视windowsapi的一小部分的调用,并且必须忽略其他一切。因为每个钩住的函数的开销都很大,所以它们不得不将被监视的API函数的列表保持在较小的范围内。VMRay不是这样。它基于hypervisor的监视方法可以监视示例所做的API函数调用。正如Tamas所解释的那样,这些API调用不会导致文件创建或注册表操作,而是会暴露键的内部行为,否则这些行为将被隐藏。在一个示例中,他展示了一个简单的内部字符串操作如何在示例加密和传输消息之前显示消息。通过行为技术识别家庭由于恶意软件的大部分代码是在每个家族的样本之间共享的,执行这些样本并密切观察其行为细节是识别家族的有力工具。正如塔马斯解释的那样,"通过深入挖掘恶意行为的类型,比如注入了什么进程,或者如果恶意软件正在从67个应用程序中窃取缓存的密码,而这67个密码中的一些是这个恶意软件家族独有的,那么这些恶意软件也可以用来识别特定的家族。"塔马斯总结了自己的部分,总结了将样本分类为系列的三个原因:加快分析速度。如果一个沙箱可以为分析师提供一个家庭,这将极大地加快所有其他方面的补救工作加深对威胁的理解。如果一个分析员想要深入研究或者逆向工程,那么从家庭开始就提供了一个很好的起点。提供对威胁前景的更广泛的了解:了解组织所针对的恶意软件家族类型将有助于安全团队更好地应对未来的威胁。要了解更多有关恶意软件家族识别的信息,请查看完整的网络广播:家庭事务:针对事件响应者的实用恶意软件家族识别关于Ben Abbott Ben Abbott是VMRay的解决方案工程师。Ben与客户和潜在客户合作,解决他们的恶意软件分析和检测难题。他以前的解决方案工程师经验包括在Cygilant和NetBrain Technologies工作。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/61162.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8153778访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X