使用代码相似性提早DDoS防御预判重大网络安全风险-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 使用代码相似性提早DDoS防御预判重大网络安全风险

使用代码相似性提早DDoS防御预判重大网络安全风险

小墨安全管家 2020-09-27 12:07 CC防护 89 ℃
DDoS防御

另一方面,Crowdstrike自个儿的情报副总裁亚当·梅耶斯(Adam Meyers)在答应媒体采访时表示:“没有证据表明Fancy Bear与奥运会突击事件有关。”

这条神秘的消息实际上是指具有共享代码的两个样本之间的相似性,Neel在文中提到的两个样本为:

非常是,上述命中是基于我们所谓的“基因型”运行自定义Yara规则的结果,从恶意软件样本中提取的唯一代码片段,不大概出如今任何干净的样本中且特定于该恶意软件家族。特别快,卡巴斯基威胁归因引擎(“KTAE”)在内部也被昵称为“Yana”,成为研究人员常用的分析工具。

看看这些导出,例如fileWriteEx,就会发觉那个库实际上是作为流行IO函数的包装而创建的,特别大概是出于可移植性的目的,从而使代码能够针对不同的平台举行编译:

b4587870ecf51e8ef67d98bb83bc4be7 - Turla 64位Penquin样本分析

使用代码相似性提早预判重大网络安全风险

上面那个看似良性的Yara规则捕获了BlueNoroff(用于孟加拉国银行劫案的恶意软件),ManusCrypt(Lazarus APT使用的更复杂的恶意软件,也称为FALLCHILL)和Decafett,一具键盘记录程序,研究人员往常不能与任何已知的APT联系在一起。

使用代码相似性提早预判重大网络安全风险

例如,要找到两个恶意软件样本之间的通用代码,例如,能够提取所有8-16字节的字符串,接着检查是否存在重叠。只是,有两个要紧咨询题:

实际测试

针对SingHealth数据泄漏中使用的两个样本的KTAE分析

更故意义的是,USCYBERCOM在2020年5月发布了另一批样本,KTAE也发觉了类似的模式。

与此并且,研究人员还使用KTAE来检查样本是否与之前已知的活动有任何大概的联系。令人惊奇的是,KTAE发觉了一种独特的模式,该模式也将OlympicDestroyer和Lazarus联系起来。存储在可执行文件中的特定代码开辟环境特性的组合,称为富头文件,在某些事情下能够用作识别恶意软件开辟者。

2017年9月,研究人员在识别共享代码方面取得了突破,第一次可以将一具新的“未知”恶意软件与一具已知实体或一套工具关联起来。这是在#CCleaner事件期间发生的,最初由Morphisec和Cisco Talos发觉。

另一家名为Recorded Future的公司决定不将此次攻击归咎于任何一方。然而,他们声称发觉了与BlueNoroff / Lazarus LimaCharlie恶意软件加载程序的相似之处,而后者被普遍以为是朝鲜的黑客组织。

使用代码相似性提早预判重大网络安全风险

在Talos报告发表后不大会儿,以色列公司IntezerLabs在twitter上发帖称,他们发觉了中国APT集团的链接。作为辅助节点,IntezerLabs本身具有出色的代码相似性技术,你能够经过访咨询其网站analytics.intezer.com举行签出。

使用代码相似性提早预判重大网络安全风险

使用代码相似性提早预判重大网络安全风险

使用代码相似性提早预判重大网络安全风险

此后不大会儿,西班牙计算机应急反应小组CCN-CERT在其网站上公布了一则警告,称一场大规模勒索软件攻击阻碍了西班牙数家组织。该警告建议安装微软2017年3月安全公告中的更新,作为阻挠攻击扩散的手段。与此并且,英国国家卫生服务体系(NHS)也公布了警报,并在16家医疗机构确认了感染病例。

4. 在整个文件或部分文件上使用含糊哈希;

思量到WannaCry和Lazarus之间的联系,研究人员制定了一具打算,假如能建立一种技术,可以在恶意软件攻击之间快速识别代码重用,并在今后的案例中找出大概的罪魁祸首,会如何样呢?研究人员的目标是使这项技术在更大的范围内可用,以关心威胁搜寻者,SOC和CERT加快事件响应或恶意软件分类的速度。该新技术的首个原型于2017年6月在卡巴斯基内部公布,在接下来的几个月里,研究人员然后对其举行改进和微调。

当代码相似性检测失败时

思科Talos研究人员在研究中指出,OlympicDestroyer使用了与Badrabbit和NotPetya类似的技术来重置事件日志并删除备份。虽然这两种技术的实现意图和目的相似,然而代码语义上有很多差异。绝对不是复制粘贴的代码,同时由于命令行已在安全性博客上公开讨论,所以任何想要使用它们的人都能够使用这些简单的技术。

2. 重构代码流并从中创建一具图,比较相似结构的图;

使用代码相似性提早预判重大网络安全风险

原则上,代码相似性原理是特别容易理解的。过去基本测试和讨论了几种想法,包括:

使用代码相似性提早预判重大网络安全风险

固然,人们大概会想,除了关心识别USCYBERCOM的VT转储外,KTAE还能做啥?

随着分析的深入,研究人员开始了解到更多的东西;例如,这次感染依靠于一具闻名的漏洞(代号为“EternalBlue”),该漏洞经过Shadowbrokers在2017年4月14日的转储在互联网上公布,并在3月14日被微软修复。虽然那个补丁基本公布两个月了,但也许特别多公司都没有打补丁。研究人员整合了几个博客,更新了研究人员的技术支持页面,确保所有的样本都被检测到并阻挠,即使是在易受“EternalBlue”攻击的系统上。

当看到一项令人激动的、全新的技术时,有时特别容易忽略其缺陷和限制。可是,重要的是要理解代码相似技术只能满脚某种检测,而分析人员仍然有责任验证和确认潜在客户。比如OlympicDestroyer的案例,这是一种很有味的攻击,最初由Cisco Talos描述和命名。

2020年2月,USCYBERCOM公布了另一批样本,研究人员特别快与KTAE举行了核实。结果显示了一组不同的恶意软件家族,被几个APT组织使用,包括Lazarus,Andariel, HollyCheng,共享的代码片段能够追溯到DarkSeoul攻击,Blockbuster操作和SPE Hack。

非常是,研究人员使用该技术发觉了一具代码片段,自定义的base64编码子程序的一部分,在Cbkrdr shellcode加载程序,这是相同的,在往常的恶意软件样本,名为Missl,据讲被APT17使用:

分析3 c0d740347b0362331c882c2dee96dbf

· 2017年2月的WannaCry样本看起来像是很早期的变体;

分析07 cc65907642abdc8972e62c1467e83b

使用代码相似性提早预判重大网络安全风险

使用代码相似性提早预判重大网络安全风险

研究人员能够看到与其他两个样本(分别为99%和99%)的相似度特别高,与其他已知的Turla Penquin样本的相似度较低。经过观看它们的共同之处,研究人员即将发觉了一些特别好的Yara规则候选者。

2017年5月12日,全球开始爆发电脑勒索病毒WannaCry,眨眼波及150多个国家7.5万台电脑被感染,有99个国家遭受了攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利等。

美国网络司令部(简称USCYBERCOM)于2018年11月开始向VirusTotal发送样本,研究人员以为这是一具很好的举措。这些上传的唯一缺点是缺乏任何背景,比如恶意软件家族,它是APT依旧其他组织,以及它们是在野外发觉的,依旧从某些地点挖来的。尽管第一次上传是一具重新使用的绝对Computrace加载器,识别起来并不是啥大咨询题,然而2019年5月的上传就有些难识别了。标记为Sofacy,非常是与XTunnel样本类似。

1. 恶意软件收集量太大,假如研究人员想对所有的文件都如此做,研究人员需要一具大型计算集群和大量的存储空间;

此外,以一种研究人员能够作为独立机箱、VM或设备提供的有效方式举行大量的代码提取、分析和存储(更不用讲搜索了)是另一种复杂级别。

上面显示的4%相似度来自样本的Rich标头中的匹配项,最初,我们特别惊奇地找到了这种联系,虽然它特别故意义。其他公司也发觉了相似之处,而Lazarus基本因多次破坏性攻击而著名。但有点情况也许特别奇怪。朝鲜参与的大概性看起来不大,尤其是金正恩的妹妹参加了平昌的开幕式之后。依照研究人员的法医调查,突击发生在2018年2月9日正式开幕式之前。随着研究人员对那个案件的深入调查,研究人员得出结论,这是一具精心设计的错误标记;进一步的研究让研究人员能够将这次攻击与Hades APT小组联系起来。

下面的截图显示了两个样本之间的相似性,并突出显示了共享代码:

虽然有点人怀疑这种联系,但研究人员以为这是正确的。那个代码重叠的发觉显然不是随机的。多年来,谷歌将他们从Zynamics获得的技术集成到他们的分析工具中,使得基于共享代码将恶意软件样本聚类成为大概。显然,这项技术也许运行得相当不错。

深入挖掘,研究人员发觉至少有三个恶意软件家族共享此代码:Missl, Zoxpng/Gresim和Hikit,如下Yara规则发觉的内容所示:

使用代码相似性提早预判重大网络安全风险

WannaCry勒索软件在世界各地广泛使用

使用代码相似性提早预判重大网络安全风险

使用代码相似性提早预判重大网络安全风险

2. 资本支出太小。


DDoS防御

当前位置:主页 > CC防护 > 使用代码相似性提早DDoS防御预判重大网络安全风险

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119