随着信息安全已经从单点防御进化到全局态势感知与高级持续威胁(APT)监测阶段,对威胁的识别也从浅层次的特征识别、威胁情报、IP指纹分析进化到深层次的“基因”检测时代。
威胁情报目前很火,也为全网态势提供很多有价值的数据。但对很多只关心自身的内网或者专网安全的客户而言,全网情报的价值大打折扣,因为外部爆发的威胁或者攻击跟他们无关,就像别的地方发了洪水或者发生了病毒疫情,他们不需要紧张,了解就可以了。客户真正关心的是深层次的威胁分析,比如什么黑客组织正在攻击我,使用了何种攻击手法或者工具,利用了什么漏洞等深度分析的情报能更好的指导客户如何积极防御。
因此基于软件“基因”分析的技术应运而生,从基因学的角度分析恶意代码,利用大数据技术和机器学习建立僵木蠕毒家族图谱,积累家族相关“基因”信息,当检测到攻击样本时,提取基因与恶意代码家族图谱进行对比分析,很容易知道属于哪个家族,结合社会工程数据可以进一步掌握属于哪个黑客组织,利用了哪些攻击手法,为决策者提供实实在在的有价值的决策依据。
软件基因分析技术比较前沿,对很多人而言比较陌生,但应该了解生物基因技术在刑事侦查、疾病诊疗、物种改良等领域的广泛应用,大家想想白银杀人案中如何利用家族基因特征找到凶手。相似而言,网络空间内僵尸网络、木马、蠕虫、病毒,与生物物种的繁衍和进化有着非常相似的内在机制和过程。不同的是,在网络空间这一“人造世界”,软件和信息产生、进化和消亡的周期与速度更为快速,且呈非几何速度递增。这种时间上的“增速”,使得传统软件和信息分析处理技术面临着计算、通信和存储等能力的巨大挑战,而我们不得不被迫放弃传统的单一事件分析方法,进而从大数据视角,以历史沿革、进化衍生、关联分析等方法从中寻求线索和规律,指导相关研究工作。
软件基因是软件体上具有功能或携带信息的二进制片段,支撑着软件的基本构造,存储着软件生命周期的全部信息,是程序编制者的语义实现、编译器、基础库和系统环境互相依赖、影响、制约的结果,如同生物的基因,具有双重属性:物质性和信息性。 软件基因样例参考下图:
软件基因有两个特点:
是能忠实地复制自己,在软件复制、传播或升级繁衍等过程中大部分基因能够忠实的复制自己,以保持软件的基本特征;(稳定性——遗传)
是在上述过程中,软件基因能够“突变”和“变异”,当软件体受到环境、编写者的影响,在衍生出的软件执行体中,基因能够出现“突变”和“变异”。(变异性——进化)
蓝盾通过软件基因分析技术及大数据分析平台,建立了庞大的恶意软件家族图谱和僵木蠕毒基因库,作为深度分析工具集成到传统产品以及云端分析引擎中,在攻击溯源和APT检测上进行了深入运用。
在蓝盾云端安全分析中心建立恶意软件基因库
恶意软件基因检测
云端机器学习引擎
恶意软件家族图谱及溯源
APT、僵木蠕毒基因库
黑客组织社工库
亿级IP指纹、威胁情报
千万级恶意文件样本
庞大的安全情报交换网络
蓝盾态势感知平台利用软件基因技术进行溯源分析
对高级持续威胁APT的检测中利用软件基因检测技术进行快速基因检测,定位出APT的基因图谱、来源和攻击路径,结合传统的特征分析及威胁情报,大大提升了检测速度和准确率,也使得APT的分析报告更有含金量。
在攻击路径还原分析中,结合软件基因分析得到的恶意代码家族图谱的情报,为内网攻击路径还原和全网攻击路径还原提供了非常有价值的信息,也为管理者如何防御提供重要决策依据。
结合社工数据库进行攻击来源及黑客组织溯源,并对攻击痕迹进行取证。