На Black Hat 2010 будут представлены методы снятия "отпечатков пальцев" с вредоносного ПО

image

Теги: Black Hat, вредоносное ПО

Грег Хоглунд, глава компании HBGary, считает, что разработанные им методики позволят организациям успешно идентифицировать авторов вредоносного программного обеспечения, отличать случайные атаки от спланированных кибер-вторжений и продумывать более эффективные стратегии защиты.

Один из участников международной конференции Black Hat 2010, посвященной вопросам информационной безопасности, собирается поделиться с присутствующими любопытными результатами проведенного исследования. Грег Хоглунд, глава компании HBGary, считает, что разработанные им методики позволят организациям успешно идентифицировать авторов вредоносного программного обеспечения, отличать случайные атаки от спланированных кибер-вторжений и продумывать более эффективные стратегии защиты.

По мнению эксперта, тщательный анализ кода вируса позволяет обнаружить признаки среды, в которой разрабатывалось вредоносное приложение. Информация об используемых инструментах выполняет функцию своеобразных отпечатков пальцев и помогает специалистам идентифицировать код, написанный конкретным хакером или группой злоумышленников.

В рамках проводимого исследования Грег Хоглунд провел вскрытие исполняемого файла одного из распространенных вирусов и обнаружил элементы Back Orifice 2000, фрагменты ПО для удаленного управления компьютерами Ultra VNC, а также части кода, соответствующего стандарту Microsoft Programming Guide 2002. Несмотря на то, что каждая из упомянутых программ подверглась легкой модификации, обнаруженные "отпечатки" можно считать достаточно отчетливыми.

"Вы вряд ли сможете воспрепятствовать проникновению кибер-злоумышленников в вашу сеть, – считает Грег Хоглунд. – Однако угрозу можно распознать на ранних стадиях и постараться избежать серьезного ущерба". К примеру, вредоносное приложение, предназначенное для кражи номеров кредитных карт, может расцениваться корпоративными IT-специалистами как менее опасное по сравнению с "трояном", посягающим на интеллектуальную собственность компании.

В общей сложности Хоглунд и его коллеги исследовали полмиллиона образцов вредоносного кода и убедились в том, что количество используемых программных "основ" отстает от этой цифры в сотни и даже тысячи раз.

В рамках доклада Грега Хоглунда, запланированного на следующую неделю, также состоится анонс инструмента под названием Fingerprint, предназначенного для анализа и обнаружения схожих элементов в различных образцах вредоносного ПО. Этот продукт позволит потенциальным жертвам киберпреступников идентифицировать автора вредоносного кода и разгадать его намерения.


comments powered by Disqus