搜索此博客

2017年7月1日星期六

ArkName的一个定位

本邮件内容由第三方提供,如果您不想继续收到该邮件,可 点此退订
ArkName的一个定位  阅读原文»

一.ArkName定位

思考信息安全概念的"内涵",兼谈网络安全事件的"命名"。

二.命名困境

以Malware为例,当一个新的Malware出现时,经常遇到 "类型判定困境"。

  • CIH,在特定日期发作,逻辑炸弹还是病毒?
  • 梅丽莎,感染文件与自动传播兼具,病毒还是蠕虫?
  • StuxNet:感染、传播与远控兼具,病毒、蠕虫还是僵尸网络?
  • Conficker,传播与远控兼具,蠕虫还是僵尸网络?
  • Locky:远控与勒索兼具,僵尸网络还是勒索软件?

2017年出现的"WannyCry",这是一个典型的勒索软件。然而,国内却出现了多种不一致命名法,而且发生在知名安全厂商公开报告的不同版本之中。例如,勒索蠕虫、勒索病毒、勒索僵尸等。

ArkTeam认为,Malware命名有两要素。

  • 按照Malware形态的演进规律及内在驱动力
  • 特定Malware实例的第一攻击意图而非攻击方法

利用两要素原则,以上类型判定困境,都可清晰的得出结论。这里不再一一论述,而是通过以后新出现的网络攻击形态/实例来论证,并不断完善两要素原则。

三.内涵解析

信息安全基本概念广泛出现于专业报告和媒体报道之中,然而这些概念的内涵却很难精准把握。我们做一个简单测试,大家看看自己能否准确说出以下30个常见网安概念的基本原理、技术门槛、应用场景、未来趋势。

ASLR、Adversarial Machine Learning、BitCoin、Blockchain、Cyber Deception、CASB、Domain Fronting、Docker、EDR、Exploit、Fileless Attack、GPU、 HiddenServices、IaaS、Kali、Moving Target Defense、NFV、obfs4、PoC、RaaS、SDN、Side-Channel、Tor、ThreatIntelligence、USB-C、 Virus、WAF、XEN、YARA、ZEC。

不知道读者能否准确说出,反正我是做不到,所以需要重新学习和思考,并与大家分享与交流,这正是ArkName开版的初衷。


黑客技术官网地址:http://www.hackdig.com/

【S&P'17论文】恶意软件网络通信:进化和洞察  阅读原文»

原文作者:Chaz Lever etc.

原文题目:A Lustrum of malware network communication:Evolution and insights

原文会议:37th IEEE Symposium on Security and Privacy, May 23-25, 2017,San Jose, USA

译文作者:{HP, rupyerlua, Woody, XHJ}@arkteam

――该文章为S&P’17上唯一一篇Malware长文,由Arker公益翻译。

工业界与学术界的安全研究人员,使用沙箱对恶意软件进行动态分析大约已有10年的历史。来自乔治亚理工学院和欧洲电信学院的研究人员,深入分析了五年中收集的2680万个恶意软件样本的网络通信数据,得出三点结论如下:

(1)基于动态分析的网络追溯,需要精心制定分析方法,以尽可能消除网络通信数据中的噪音数据。

(2)使用潜在有害程序(PUP,Potentially Unwanted Programs)的恶意攻击者越来越多,而这些恶意程序依赖于稳定的DNS和IP基础设施。这就要求安全研究人员针对此类威胁时,需要提出更好的保护措施。

(3)对于绝大多数恶意软件样本,在被发现之前的几周甚至几个月,网络流量中就已经存在恶意样本的迹象。因此,对于防御者来说,更应该基于自动化分析去提取网络流量中蕴含的恶意软件IOC(Indicators of Compromise)信息,而不是去建立恶意软件检测系统。

下载全文:

【S&P’17论文】恶意软件网络通信:进化和洞察


黑客技术官网地址:http://www.hackdig.com/

阅读更多内容

没有评论: