信息來(lái)源：4hou

遺傳惡意軟件分析（Genetic Malware Analysis）技術(shù)基于識(shí)別與已知軟件的代碼相似性，可幫助政府機(jī)構(gòu)應(yīng)對(duì)以下網(wǎng)絡(luò)安全挑戰(zhàn)：

1.威脅情報(bào)：自動(dòng)提供對(duì)未知文件的逆向工程級(jí)別的分析，包括惡意軟件家族分類(lèi)，YARA簽名，相關(guān)樣本和其他上下文。

2.歸因：事實(shí)證明，遺傳惡意軟件分析可以準(zhǔn)確地檢測(cè)并歸因于威脅行為者的復(fù)雜APT和惡意軟件。

3.加快事件響應(yīng)速度：通過(guò)自動(dòng)執(zhí)行文件和內(nèi)存分析過(guò)程，政府機(jī)構(gòu)可以減少誤報(bào)，并立即對(duì)大規(guī)模的網(wǎng)絡(luò)事件進(jìn)行優(yōu)先級(jí)劃分，調(diào)查和響應(yīng)。

網(wǎng)絡(luò)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的威脅 

政府機(jī)構(gòu)負(fù)責(zé)保護(hù)重要的基礎(chǔ)設(shè)施，也就是對(duì)國(guó)家經(jīng)濟(jì)和社會(huì)福祉至關(guān)重要的資產(chǎn)。例如，在美國(guó)，有16個(gè)部門(mén)被指定為關(guān)鍵基礎(chǔ)設(shè)施，其中包括農(nóng)業(yè)，關(guān)鍵制造業(yè)，國(guó)防工業(yè)基礎(chǔ)，金融服務(wù)，信息技術(shù)，能源和運(yùn)輸?shù)取?

對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅可能對(duì)國(guó)家安全，經(jīng)濟(jì)穩(wěn)定以及國(guó)家公共健康與安全產(chǎn)生致命的影響。這主要是因?yàn)樗嘘P(guān)鍵基礎(chǔ)設(shè)施部門(mén)在某種程度上都依賴(lài)于連接到Internet的網(wǎng)絡(luò)和系統(tǒng)。就像幾乎所有與Internet相連的資產(chǎn)一樣，這些網(wǎng)絡(luò)和系統(tǒng)也無(wú)法避免受到對(duì)手的侵害，這些對(duì)手擁有滲透和攻擊網(wǎng)絡(luò)領(lǐng)域目標(biāo)所需的技能，知識(shí)和資源。

不管這種攻擊背后的動(dòng)機(jī)是什么，后果都是很?chē)?yán)重的。例如，如果勒索軟件感染了控制一個(gè)國(guó)家能源網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)，其后果可能無(wú)法想象。受害者可能難以調(diào)節(jié)環(huán)境溫度，獲取自來(lái)水并使用電子設(shè)備進(jìn)行通信。如果網(wǎng)絡(luò)攻擊阻礙了緊急服務(wù)的訪(fǎng)問(wèn)（如過(guò)去的攻擊所證明的那樣），那么那些受眾人群將面臨更大的危險(xiǎn)。

用于政府機(jī)構(gòu)的遺傳惡意軟件分析用例

政府機(jī)構(gòu)可以利用遺傳惡意軟件分析來(lái)減少誤報(bào)，并更準(zhǔn)確地檢測(cè)，分類(lèi)和響應(yīng)更多的網(wǎng)絡(luò)威脅，包括諸如逃避和無(wú)文件惡意軟件之類(lèi)的高級(jí)威脅。

從提高檢測(cè)能力和增強(qiáng)威脅研究到歸因于國(guó)家資助的威脅和加快事件響應(yīng)，以下是遺傳惡意軟件分析可幫助政府機(jī)構(gòu)解決其任務(wù)的一些用例：

用例1：豐富威脅情報(bào)

所有惡意軟件均包含可執(zhí)行的機(jī)器代碼，惡意軟件作者在編寫(xiě)新的惡意軟件時(shí)會(huì)重用代碼，因?yàn)樗归_(kāi)發(fā)和部署過(guò)程更快，更有效。隨著攻擊者繼續(xù)開(kāi)發(fā)新的惡意軟件，他們會(huì)建立代碼模式。對(duì)于防御者來(lái)說(shuō)，這就為檢測(cè)，惡意軟件家族分類(lèi)，YARA簽名和相關(guān)樣本提供了關(guān)鍵信息。

遺傳惡意軟件分析基于進(jìn)化原理，即所有軟件（無(wú)論合法還是惡意）均由先前編寫(xiě)的代碼組成。遺傳惡意軟件分析技術(shù)將任何文件或二進(jìn)制文件分解為微小的代碼片段（也稱(chēng)為基因），然后將代碼片段與大型基因組數(shù)據(jù)庫(kù)進(jìn)行比較，該數(shù)據(jù)庫(kù)包含來(lái)自已知受信任和惡意軟件的數(shù)十億個(gè)代碼片段。在幾秒鐘內(nèi)識(shí)別出每個(gè)代碼段的起源，可以立即為每一個(gè)警報(bào)提供逆向工程級(jí)別的洞察，包括:

1.警報(bào)是否包含惡意代碼，或者是誤報(bào)？

2.如果警報(bào)包含惡意代碼，那么它是什么特定類(lèi)型的威脅？例如，惡意軟件是廣告軟件還是勒索軟件？該問(wèn)題的答案將揭示惡意軟件的意圖，進(jìn)而幫助防御者更適當(dāng)?shù)卣{(diào)整其響應(yīng)。

該惡意軟件是否與以前以我的組織為目標(biāo)的事件有關(guān)？

3.威脅的復(fù)雜程度如何?

4.將惡意軟件分類(lèi)到相關(guān)的惡意軟件家族；

5.生成高級(jí)YARA規(guī)則以提高威脅搜尋能力；

這些見(jiàn)解將為安全團(tuán)隊(duì)(尤其是SOC和事件響應(yīng)功能)提供所需的環(huán)境，以更好地評(píng)估其組織面臨的風(fēng)險(xiǎn)，確定警報(bào)的優(yōu)先級(jí)并更有效地調(diào)整其響應(yīng)。我們將在后面提到，遺傳惡意軟件分析是為自動(dòng)化而構(gòu)建的，這使安全團(tuán)隊(duì)能夠快速檢測(cè)、分類(lèi)和響應(yīng)大規(guī)模的日常警報(bào)。

用例2：歸因

政府機(jī)構(gòu)了解歸因于網(wǎng)絡(luò)威脅的重要性，特別是國(guó)家贊助的行為者對(duì)關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成了重大威脅。由于這些行為者是代表外國(guó)政府工作的，并得到外國(guó)政府經(jīng)常提供的資源的支持，因此，無(wú)論他們是獲得機(jī)密情報(bào)以支持軍事還是經(jīng)濟(jì)，他們都趨于更加成熟，能夠成功地完成其預(yù)期的行動(dòng)優(yōu)勢(shì)，或在發(fā)生外交爭(zhēng)端后對(duì)外國(guó)對(duì)手進(jìn)行報(bào)復(fù)。

WannaCry

WannaCry于2017年5月部署，是歷史上規(guī)模最大的勒索軟件攻擊之一，感染了150個(gè)國(guó)家/地區(qū)的20多萬(wàn)臺(tái)電腦。在被攻擊的組織中有政府機(jī)構(gòu)，其中一個(gè)是國(guó)家衛(wèi)生服務(wù)中心，該中心報(bào)告說(shuō)，多達(dá)7萬(wàn)臺(tái)設(shè)備，包括電腦、核磁共振掃描儀和血液存儲(chǔ)冰箱可能受到了影響。

攻擊發(fā)生后不久，遺傳惡意軟件分析能夠立即識(shí)別WannaCry與以前不相關(guān)的惡意軟件家族Brambul，Joanap和Lazarus（當(dāng)時(shí)被認(rèn)為是朝鮮黑客）之間的明確代碼重用連接。代碼重用表明這些黑客工具是由同一位開(kāi)發(fā)者編寫(xiě)或修改的，在這方面Intezer公司是第一個(gè)將WannaCry攻擊歸咎于朝鮮的組織，先于領(lǐng)先的引擎和政府機(jī)構(gòu)。

MirageFox

在另一個(gè)示例中，繼2018年6月美國(guó)海軍承包商被黑客入侵以及海底戰(zhàn)中高度敏感的數(shù)據(jù)被盜之后，遺傳惡意軟件分析技術(shù)確定了Intezer研究人員命名為MirageFox的惡意軟件與以前的遠(yuǎn)程訪(fǎng)問(wèn)木馬之間的代碼重用（ RAT）稱(chēng)為Mirage，據(jù)信起源于2012年。通過(guò)分析代碼復(fù)用，Intezer發(fā)現(xiàn)MirageFox與APT15使用的Mirage變體共享了90％以上的代碼。

APT28

Sofacy，也稱(chēng)為Fancy Bear或APT28，是隸屬于俄羅斯政府的網(wǎng)絡(luò)間諜組織。該組織自2000年代中期以來(lái)一直很活躍，據(jù)信是對(duì)德國(guó)議會(huì)，白宮和北約的襲擊負(fù)責(zé)。

在下面的示例中，上傳到Intezer Analyze?的文件與Sofacy共享了90％以上的代碼。此外，其相關(guān)樣本與X-Agent特別相關(guān)，X-Agent是該組織通常用來(lái)從受感染的端點(diǎn)竊取信息的工具。結(jié)果，該文件被自動(dòng)檢測(cè)為惡意文件，并歸因于APT28。

用例3：加速事件響應(yīng)

自動(dòng)化惡意軟件分析

惡意軟件分析很難擴(kuò)展，特別是政府機(jī)構(gòu)必須調(diào)查大量警報(bào)，如果要確保事件不會(huì)越過(guò)裂縫，自動(dòng)化就變得至關(guān)重要。

基因惡意軟件分析技術(shù)是為自動(dòng)化而構(gòu)建的，使安全團(tuán)隊(duì)能夠自動(dòng)大規(guī)模調(diào)查可疑文件和終結(jié)點(diǎn)，以確保不會(huì)對(duì)任何警報(bào)進(jìn)行調(diào)查。

Intezer Analyze?可以輕松地與SIEM和SOAR系統(tǒng)集成，以確保每個(gè)警報(bào)或可疑文件都能在很短的時(shí)間內(nèi)自動(dòng)分析。結(jié)果，組織能夠調(diào)查每個(gè)警報(bào)，從而減少誤報(bào)的數(shù)量，并將精力集中在對(duì)更多實(shí)際威脅的響應(yīng)上。

自動(dòng)內(nèi)存分析

現(xiàn)代的端點(diǎn)保護(hù)解決方案將搜索諸如遠(yuǎn)程訪(fǎng)問(wèn)內(nèi)存或注冊(cè)表中的特定鍵之類(lèi)的模式，以警告異?；蚩梢尚袨椤Ｔ谶@方面，這些解決方案可有效防止受感染的文件或腳本進(jìn)入端點(diǎn)并在端點(diǎn)內(nèi)運(yùn)行。

但是，僅阻止惡意軟件還不夠，因?yàn)閻阂獯a仍可以在計(jì)算機(jī)內(nèi)存中運(yùn)行。 Intezer的端點(diǎn)分析解決方案可自動(dòng)執(zhí)行復(fù)雜的內(nèi)存分析過(guò)程，掃描并分析機(jī)器內(nèi)存中運(yùn)行的每段代碼。自動(dòng)化可以為安全團(tuán)隊(duì)節(jié)省寶貴的時(shí)間，并幫助他們檢測(cè)內(nèi)存中的高級(jí)威脅，例如惡意代碼注入，打包和無(wú)文件惡意軟件。

上面突出顯示的用例都可以可以協(xié)同工作，以幫助組織改進(jìn)和自動(dòng)化其安全操作并加速事件響應(yīng)。先進(jìn)的網(wǎng)絡(luò)威脅的存在和嚴(yán)重的警報(bào)使遺傳惡意軟件分析成為政府機(jī)構(gòu)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的必不可少的資源，以便正確有效地大規(guī)模應(yīng)對(duì)安全事件。通過(guò)實(shí)施遺傳惡意軟件分析技術(shù)，政府機(jī)構(gòu)可以更準(zhǔn)確地檢測(cè)，分類(lèi)和響應(yīng)更多的網(wǎng)絡(luò)威脅，尤其是來(lái)自復(fù)雜的APT的網(wǎng)絡(luò)威脅，以維護(hù)國(guó)家的安全，經(jīng)濟(jì)穩(wěn)定以及國(guó)家公共衛(wèi)生和安全。