来自 安全 2021-12-14 08:10 的文章

防ddos攻击_烈火神盾游戏_无缝切换

防ddos攻击_烈火神盾游戏_无缝切换

在恶意软件分析领域,有时会混淆术语"工件"和"妥协指标(IOC)"。这是可以理解的,因为许多恶意软件分析引擎不区分这两者。首先,让我们定义术语。当恶意软件沙盒动态分析威胁时,它会收集运行时观察到的取证数据片段。这些收集的数据被称为"分析工件",通常包括文件、URL、IP、进程和注册表项,它们是作为恶意软件执行的一部分使用、创建或修改的。另一方面,妥协指标(IOC)是与给定威胁直接相关的取证数据,可用于识别系统或网络中是否存在威胁。IOCs可以是某些工件的组合,也可以是单个工件。 对于恶意软件分析人员来说,问题是如何在一大堆工件中找到这些有意义的IOC,它们的大小很小?这种搜索带来了一些问题,首先是"对误报的恐惧",因为错误地将工件分类为IOC会导致错误警报,并可能对生产网络造成直接的负面影响。此外,由于上下文不足,错误识别的IOC在威胁情报方面的价值有限。由于专有格式的激增,在异构环境中跨系统集成分析也存在困难。这些问题就是为什么安全团队仍然主要使用手动、耗时的方法来提取可靠和可操作的ioc。VMRay解决方案但是,随着VMRay Analyzer 3.3的发布,手动排序工件以找到相关ioc的任务现在要容易得多。VMRay的自动分析过滤ioc和工件,高防cdn和高防服务器对比,从而使DFIR团队在工件分析上花费的时间更少,对事件的响应时间更长。在这个最新版本中,关键的创新是使用VMRay威胁标识符(VTI)系统来标记与异常行为相关的工件。按照这些规则,当单个工件本身就是IOC时,分析器会将其标记为恶意的。此外,当工件较弱但与其他工件结合使用时,VMRay会将它们标记为IOC,但其严重性未知或可疑。这意味着IOC现在被定义为工件的子集,通过向每个工件添加一个"IOC"标志。为了使这一点更加有力,VTIs现在也被用来更好地判断国际奥委会的恶意。这项新功能——IOC的自动评分和标记——使安全团队能够轻松地从动态恶意软件分析中提取可操作的威胁情报。准确的IOC识别对于间谍软件、远程访问特洛伊木马(RATs)和机器人程序等恶意软件执行有效的事件响应是必要的。老鼠分析——Remcos下面是一个Word文档的分析,该文档使用宏来下载一个名为Remcos的RAT。RAT是一种允许外部人员监视和控制您的计算机或网络的恶意软件。老鼠,像大多数类型的恶意软件一样,经常携带合法的文件,如电子邮件或大型软件包中的文档。这种类型的恶意软件一旦安装就很难被发现,因为它们通常不会减慢计算机的运行速度,免费ddos云防御,ddos防御cdnns,而且恶意软件操作员通常会飞到计算机操作员的雷达以下。有时用户会被老鼠感染数年而没有发现任何问题。图1:IOC选项卡显示创建的名为"Remcos-WLC63H"的互斥锁查看代码示例的VMRay分析中的IOC选项卡,防御cc的公司,用户可以看到总共有130个工件,其中12个是IOC。下面截图中突出显示的一个ioc是互斥体。这个文件很有帮助,因为一些恶意软件家族倾向于使用重复出现的名称模式,这有助于识别家族和检测受感染的系统。在下面的互斥体文件中,名称的前缀是"Remcos",这是一个众所周知的RAT。识别代码示例的另一个帮助是在IOC选项卡的IP部分,用户可以看到代码示例下载并使用PowerShell执行Remcos。有效载荷托管在grupo omega[.]com[.]ar上,这是一个有可疑结论的人工制品。图2:IOC选项卡显示了连接到相应域grupo omega[.]com[.]ar的IP,该域承载有效载荷。英寸在IOC选项卡的文件部分,用户可以看到被IOC标记为恶意的三个文件。下面截图底部的部分显示了有关突出显示的采购订单.exe"文件(在上面的图2中下载):图3:IOC选项卡显示下载的有效负载文件"采购订单.exe包含附加信息,包括哈希值和资源URL。下面的屏幕截图显示了采购订单.exe文件:图4:IOC选项卡,显示在有效负载文件上触发的相关VTI"采购订单.exe".从上面的分析可以看出,VMRay独特的IOC过滤系统不仅允许用户将代码样本识别为恶意软件,安全狗ddos防御,还可以识别被恶意软件修改的特定操作和文件。有了这些信息,安全小组就可以迅速有效地做出反应。大卫·格雷滕达夫·格雷滕是VMRay的产品营销经理。作为雅虎的早期员工,Dave拥有20年的技术营销经验,包括在第一次创业时与Y Combinator的Paul Graham合作,并在全球网络安全公司卡巴斯基实验室(Kaspersky Lab)担任高级网络制作人。