一.ArkName定位
思考信息安全概念的"内涵",兼谈网络安全事件的"命名"。
二.命名困境
以Malware为例,当一个新的Malware出现时,经常遇到 "类型判定困境"。
- CIH,在特定日期发作,逻辑炸弹还是病毒?
- 梅丽莎,感染文件与自动传播兼具,病毒还是蠕虫?
- StuxNet:感染、传播与远控兼具,病毒、蠕虫还是僵尸网络?
- Conficker,传播与远控兼具,蠕虫还是僵尸网络?
- Locky:远控与勒索兼具,僵尸网络还是勒索软件?
- …
2017年出现的"WannyCry",这是一个典型的勒索软件。然而,国内却出现了多种不一致命名法,而且发生在知名安全厂商公开报告的不同版本之中。例如,勒索蠕虫、勒索病毒、勒索僵尸等。
ArkTeam认为,Malware命名有两要素。
- 按照Malware形态的演进规律及内在驱动力
- 特定Malware实例的第一攻击意图而非攻击方法
利用两要素原则,以上类型判定困境,都可清晰的得出结论。这里不再一一论述,而是通过以后新出现的网络攻击形态/实例来论证,并不断完善两要素原则。
三.内涵解析
信息安全基本概念广泛出现于专业报告和媒体报道之中,然而这些概念的内涵却很难精准把握。我们做一个简单测试,大家看看自己能否准确说出以下30个常见网安概念的基本原理、技术门槛、应用场景、未来趋势。
ASLR、Adversarial Machine Learning、BitCoin、Blockchain、Cyber Deception、CASB、Domain Fronting、Docker、EDR、Exploit、Fileless Attack、GPU、 HiddenServices、IaaS、Kali、Moving Target Defense、NFV、obfs4、PoC、RaaS、SDN、Side-Channel、Tor、ThreatIntelligence、USB-C、 Virus、WAF、XEN、YARA、ZEC。
不知道读者能否准确说出,反正我是做不到,所以需要重新学习和思考,并与大家分享与交流,这正是ArkName开版的初衷。
黑客技术官网地址:http://www.hackdig.com/
原文作者:Chaz Lever etc.
原文题目:A Lustrum of malware network communication:Evolution and insights
原文会议:37th IEEE Symposium on Security and Privacy, May 23-25, 2017,San Jose, USA
译文作者:{HP, rupyerlua, Woody, XHJ}@arkteam
――该文章为S&P’17上唯一一篇Malware长文,由Arker公益翻译。
工业界与学术界的安全研究人员,使用沙箱对恶意软件进行动态分析大约已有10年的历史。来自乔治亚理工学院和欧洲电信学院的研究人员,深入分析了五年中收集的2680万个恶意软件样本的网络通信数据,得出三点结论如下:
(1)基于动态分析的网络追溯,需要精心制定分析方法,以尽可能消除网络通信数据中的噪音数据。
(2)使用潜在有害程序(PUP,Potentially Unwanted Programs)的恶意攻击者越来越多,而这些恶意程序依赖于稳定的DNS和IP基础设施。这就要求安全研究人员针对此类威胁时,需要提出更好的保护措施。
(3)对于绝大多数恶意软件样本,在被发现之前的几周甚至几个月,网络流量中就已经存在恶意样本的迹象。因此,对于防御者来说,更应该基于自动化分析去提取网络流量中蕴含的恶意软件IOC(Indicators of Compromise)信息,而不是去建立恶意软件检测系统。
下载全文:
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论