这四个新的方向可能值得重视

此外，Talos的研究人员指出，evtchk.txt文件名与evtdiag非常相似，该文件名是恶意软件在运行过程中使用的虚假标志。2016年，BlueNoroff/Lazarus在孟加拉国斯威夫特网络盗窃案中使用了exe, evtsy .exe和evtchk.bat。

在Talos报告发表后不久，以色列公司IntezerLabs在twitter上发帖称，他们发现了中国APT集团的链接。作为辅助节点，IntezerLabs本身具有出色的代码相似性技术，你可以通过访问其网站analytics.intezer.com进行签出。
 

当看到一项令人兴奋的、全新的技术时，有时很容易忽略其缺陷和限制。然而，重要的是要理解代码相似技术只能满足某种检测，而分析人员仍然有责任验证和确认潜在客户。比如OlympicDestroyer的案例，这是一种非常有趣的攻击，最初由Cisco Talos描述和命名。

思科Talos研究人员在研究中指出，OlympicDestroyer使用了与Badrabbit和NotPetya类似的技术来重置事件日志并删除备份。尽管这两种技术的实现意图和目的相似，但是代码语义上有许多差异。绝对不是复制粘贴的代码，并且由于命令行已在安全性博客上公开讨论，因此任何想要使用它们的人都可以使用这些简单的技术。

谈到多平台恶意软件，最近，来自Leonardo的同事发表了他们针对Linux系统的一组新Turla示例的分析。最初，我们在2014年发布了有关这些内容的文章，当时我们发现了Turla Penquin，这是该组织针对Linux的后门之一。这些样本之一（sha256：67d9556c695ef6c51abf6fbab17acb3466e3149cf4d20cb64d6d34dc969b6502）已于2020年4月上传到VirusTotal。在KTAE中对该样本进行的快速检查显示以下内容：
 

特别是，上述命中是基于我们所谓的“基因型”运行自定义Yara规则的结果，从恶意软件样本中提取的唯一代码片段，不会出现在任何干净的样本中且特定于该恶意软件家族。很快，卡巴斯基威胁归因引擎（“KTAE”）在内部也被昵称为“Yana”，成为研究人员常用的分析工具。

实际测试

美国网络司令部(简称USCYBERCOM)于2018年11月开始向VirusTotal发送样本，研究人员认为这是一个非常好的举措。这些上传的唯一缺点是缺乏任何背景，比如恶意软件家族，它是APT还是其他组织，以及它们是在野外发现的，还是从某些地方挖来的。虽然第一次上传是一个重新使用的绝对Computrace加载器，识别起来并不是什么大问题，但是2019年5月的上传就有点难识别了。标记为Sofacy，特别是与XTunnel样本类似。
 

上面这个看似良性的Yara规则捕获了BlueNoroff(用于孟加拉国银行劫案的恶意软件)，ManusCrypt(Lazarus APT使用的更复杂的恶意软件，也称为FALLCHILL)和Decafett，一个键盘记录程序，研究人员以前不能与任何已知的APT联系在一起。

2017年9月，研究人员在识别共享代码方面取得了突破，第一次能够将一个新的“未知”恶意软件与一个已知实体或一套工具关联起来。这是在#CCleaner事件期间发生的，最初由Morphisec和Cisco Talos发现。
 

尽管有些人怀疑这种联系，但研究人员认为这是正确的。这个代码重叠的发现显然不是随机的。多年来，谷歌将他们从Zynamics获得的技术集成到他们的分析工具中，使得基于共享代码将恶意软件样本聚类成为可能。显然，这项技术似乎运行得相当不错。

考虑到WannaCry和Lazarus之间的联系，研究人员制定了一个计划，如果能建立一种技术，能够在恶意软件攻击之间快速识别代码重用，并在未来的案例中找出可能的罪魁祸首，会怎么样呢?研究人员的目标是使这项技术在更大的范围内可用，以帮助威胁搜寻者，SOC和CERT加快事件响应或恶意软件分类的速度。该新技术的首个原型于2017年6月在卡巴斯基内部发布，在接下来的几个月里，研究人员继续对其进行改进和微调。

原则上，代码相似性原理是很容易理解的。过去已经测试和讨论了几种方法，包括：

1. 计算子程序的校验和，并与数据库进行比较；

2. 重构代码流并从中创建一个图，比较相似结构的图；

3. 提取n-gram并将其与数据库进行比较；

4. 在整个文件或部分文件上使用模糊哈希；

5. 使用元数据，例如富头文件，导出文件或文件的其他部分，尽管这不是代码相似性，但它仍然可以产生一些非常好的对比结果。

例如，要找到两个恶意软件样本之间的通用代码，例如，可以提取所有8-16字节的字符串，然后检查是否存在重叠。不过，有两个主要问题：

1. 恶意软件收集量太大，如果研究人员想对所有的文件都这样做，研究人员需要一个大型计算集群和大量的存储空间；

2. 资本支出太小。

此外，以一种研究人员可以作为独立机箱、VM或设备提供的有效方式进行大量的代码提取、分析和存储(更不用说搜索了)是另一种复杂级别。

为了改进它，研究人员开始试验基于代码的Yara规则。这个想法也很简单：从样本中找到的唯一代码创建一个Yara规则，然后使用我们现有的系统使用该Yara规则扫描恶意软件集合。

这里有一个例子，灵感来自WannCry：

（编辑：揭阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!