一种新的恶意程序检查分类策略及检测方法。
需求
传统的恶意程序分析报告重在依照程序级行为进行归类,真是“事无巨细”。这样的表述导致三个后果:
- 淡化了反病毒工程师的作用。无法将工程师的对威胁的分析和判断过程很好的呈现出来。
- 繁杂的描述,不便于反病毒工程师对恶意程序及其发展趋势做出准确分析判断,不利于反病毒工程师之间进行交流。
- 用户难以理解样本报告,无法对目标程式将导致的后果进行准确的认识。
红色的病毒文件名+一大串在网上都搜不到的恶意程序分类命名并不比“运行此软件请关闭安全软件”一句更能说服用户做出选择。
无论是每天分析大量可疑程式的反病毒工程师,还是每一位可能被恶意程式威胁的客户都急切需要对目标程序的威胁程度评估。然后这种评估很少规范化,因此一般只在分析APT(高级持续性威胁)应用到。
问题归结于:如何更有效地评估一个程序的威胁程度。
五芒星
因为有在高中时代维护机房的经历,得以接触和对抗一些恶意程序,后有幸得到PowerTool作者ithurricane和无毒空间作者的点拨开始进入AntiRootkit(精致巧妙的恶意程序框架)的世界。后经营一家店面为用户提供“反病毒咨询与受损资产修复”服务。对用户信息资产因恶意程式没有在安全软件病毒库而被放行受损的无可奈何感同身受。
这段时间为了制定更有效的威胁评估策略,我对所接触过的了解过的恶意程序行为进行规整,试图设计一种用户看得懂,反病毒工程师看得明白的威胁程度表示方式。
恶意程序威胁评估五芒星:
- 破坏(Destroy)
- 窃密(SSI)
- 远控(RC)RemoteControl
- 感染(Infect)
- 平台(Platform)
核心概念是:用户资产。明确划分用户资产,确保用户资产不被泄漏,不被破坏,不被限定,将使得用户与安全厂商同心同德。
以下是5种威胁行为所属模块特征简述:
- 破坏模块:
对用户资料,用户系统有着损坏作用的代码. - 窃密模块:
将指定信息在未经用户授权的情况下进行转移的代码. - 远控模块:
- 广义的定义:存在接收远程代码并执行的能力.
- 狭义的定义:存在指令接收转译系统,存在远程可操控的模块.
- 感染模块:
存在赋予自身传播到其它机器的能力的模块. - 平台模块:
维持恶意程序后续更新的能力.
维持恶意程序模块间和谐关系的能力.
维持恶意程序健壮性可维护性能力.(过杀软,反杀软)
表现:
其中远控模块是母巢.(变异基地)
破坏模块对用户困扰最直观.(加密,删除,修改)
窃密模块对用户潜在威胁最大.(转移存储,回传)
感染模块的特征经常体现出恶意程序作者的目的.()
平台模块其特征常常为恶意程序溯源提供帮助.
下一节将介绍:恶意程序威胁评估五类行为的监测方法及实战。