HBGary公司首席執行官格雷格·霍格倫德(Greg Hoglund)表示,分析惡意軟件可執行文件的二進制代碼也可以揭示攻擊代碼的意圖,從而更有效地保護數據。霍格倫德將在拉斯維加斯的壹次會議上發表題為“惡意軟件的所有權:追蹤網絡間諜和數字犯罪”的演講。
霍格倫德表示,分析將揭示工具的痕跡——編寫惡意代碼的環境特征。這有助於識別編寫代碼的個人或團體使用什麽工具。
例如,他的研究看到了黑客在惡意軟件執行文件背後的“指紋”,包括使用Back Orifice 2000、Ultra VNC遠程控制計算機軟件和2002年微軟編輯指南代碼。每壹個學位都被修改了壹點點,但獲得的信息足以形成壹個完整的“指紋”。
惡意軟件是壹種遠程訪問工具(RAT),毒藤等RAT生成器可以為每次使用創建唯壹的RAT代碼,這不是黑客的選擇。根據Hoglund的說法,在其他惡意軟件中識別這種RAT可以將惡意軟件代碼與普通作者或團隊聯系起來。
他發現這些“指紋”已經有相當長的時間了。壹旦編寫完成,這些二進制代碼本身很少被更改。所以長期把這些指紋作為惡意軟件的特征會更有效。霍格倫德說:“這些壞人不會頻繁改變他們的代碼。”
傳統的反病毒平臺可以識別惡意軟件的變種。這項研究可以催生新形式的入侵檢測。他們將深度分析惡意軟件以找到這些指紋,然後將它們分配給根據惡意軟件意圖組建的威脅響應團隊。
他舉例說,如果惡意軟件旨在竊取個人的信用卡賬戶,那麽與竊取公司知識產權的惡意軟件相比,公司可能會將前者列為對公司威脅較低的惡意軟件。
霍格倫德說:“妳無法成功地將這些壞人擋在妳的網絡之外。但如果能盡早發現它們,就能防止損失。”
在他的演講中,霍格倫德說他會展示壹些圖表。指紋的匹配程度,這些圖表對他們團隊檢測到的50萬個惡意軟件進行了分類。他說,他想向人們展示,這50萬個惡意軟件經過分類後,數量會減少,會變成數百個而不是數千個。
如果像他說的那樣,把這些指紋作為惡意軟件的特征來檢測,入侵檢測引擎就會專註於過濾惡意軟件,而不是惡意軟件入侵時使用的外殼。由於攻擊者改變代碼的速度很慢,這也意味著將建立壹個更穩定的惡意軟件特征庫。這些IDS功能將長期有效地工作。
為了實現這壹點,IDS需要安裝在執行代碼的終端中,並且它可以在計算機內存中被視為人類可讀的文本。在網絡層,打包的可執行文件不顯示這些屬性。
會上,Hoglund計劃發布壹款名為Fingerprint的工具。該工具可以分析和比較不同惡意軟件的相似性。公司可以使用這個工具來確定可識別的黑客寫了什麽代碼以及他們的意圖是什麽。
這種方法可以幫助公司識別他們是受到了協同攻擊還是隨機攻擊。霍格倫德說,通過這種類型的分析,他發現了壹個可識別的攻擊國防部的黑客,而這個黑客也在5年前攻擊了壹個軍事基地。
“指紋”表明攻擊者是同壹個人。攻擊者使用的語言開發環境顯示了攻擊者來自的國家,攻擊者使用的部分源代碼也是該國黑客網站上的代碼副本。