На Black Hat 2010 будут представлены методы снятия "отпечатков пальцев" с вредоносного ПО

image

Теги: Black Hat, вредоносное ПО

Грег Хоглунд, глава компании HBGary, считает, что разработанные им методики позволят организациям успешно идентифицировать авторов вредоносного программного обеспечения, отличать случайные атаки от спланированных кибер-вторжений и продумывать более эффективные стратегии защиты.

Один из участников международной конференции Black Hat 2010, посвященной вопросам информационной безопасности, собирается поделиться с присутствующими любопытными результатами проведенного исследования. Грег Хоглунд, глава компании HBGary, считает, что разработанные им методики позволят организациям успешно идентифицировать авторов вредоносного программного обеспечения, отличать случайные атаки от спланированных кибер-вторжений и продумывать более эффективные стратегии защиты.

По мнению эксперта, тщательный анализ кода вируса позволяет обнаружить признаки среды, в которой разрабатывалось вредоносное приложение. Информация об используемых инструментах выполняет функцию своеобразных отпечатков пальцев и помогает специалистам идентифицировать код, написанный конкретным хакером или группой злоумышленников.

В рамках проводимого исследования Грег Хоглунд провел вскрытие исполняемого файла одного из распространенных вирусов и обнаружил элементы Back Orifice 2000, фрагменты ПО для удаленного управления компьютерами Ultra VNC, а также части кода, соответствующего стандарту Microsoft Programming Guide 2002. Несмотря на то, что каждая из упомянутых программ подверглась легкой модификации, обнаруженные "отпечатки" можно считать достаточно отчетливыми.

"Вы вряд ли сможете воспрепятствовать проникновению кибер-злоумышленников в вашу сеть, – считает Грег Хоглунд. – Однако угрозу можно распознать на ранних стадиях и постараться избежать серьезного ущерба". К примеру, вредоносное приложение, предназначенное для кражи номеров кредитных карт, может расцениваться корпоративными IT-специалистами как менее опасное по сравнению с "трояном", посягающим на интеллектуальную собственность компании.

В общей сложности Хоглунд и его коллеги исследовали полмиллиона образцов вредоносного кода и убедились в том, что количество используемых программных "основ" отстает от этой цифры в сотни и даже тысячи раз.

В рамках доклада Грега Хоглунда, запланированного на следующую неделю, также состоится анонс инструмента под названием Fingerprint, предназначенного для анализа и обнаружения схожих элементов в различных образцах вредоносного ПО. Этот продукт позволит потенциальным жертвам киберпреступников идентифицировать автора вредоносного кода и разгадать его намерения.


или введите имя

CAPTCHA
21-07-2010 11:30:12
Раньше, скромнее объявления были. А теперь "рубят" с плеча. "Этот продукт позволит потенциальным жертвам киберпреступников идентифицировать автора вредоносного кода и разгадать его намерения." Допустим автора, возможно вычислить по способу написания кода. Но разве автор, сам его распространяет? Допустим автор уязвимости программист MS. Допустим это тривиальная уязвимость, для которой не требуется дополнительного программного кода. Допустим некто, обнаружил уязвимость, создал скрипт (набор инструкций) и продал, или выложил в публичный доступ. Нашелся некто, кто решил использовать и использовал результаты труда двух первых в своих целях. Как можно идентифицировать последнего? Раньше говорили о угрозе, и векторах развития атаки. Но тут же заявка - "потенциальные жертвы" (т.е. ещё до совершения атаки, можно вычислить злоумышленника, его цели и способ действия). Автор уже получил нобелевскую премию за неоценимый вклад в науку?
0 |
21-07-2010 11:45:38
Да идиотов на Блекхате полно. Еще больше идиотов на секюрити лабе которые без гугловского переводчика читать неумеют и намеренно каверкают смысл новостей =) На самом деле автор разработки, создал решение позволяющее узнать какие популярные компоненты использовались в атакующем ПО(видимо собрал большую базу). Это позволит быстрее понять на что велась атака, и соответственно принять меры.
0 |
/dev/null
21-07-2010 13:13:23
Еще больше идиотов на секюрити лабе которые без гугловского переводчика читать неумеют и намеренно каверкают смысл новостей =) А еще не меньше двоечников, не осиливших русский язык в объеме средней школы ("неумеют" пишется РАЗДЕЛЬНО, а "кАверкают" через "О"), но при этом считающих себя вправе поучать других.
0 |
Ы
21-07-2010 14:02:56
soft.mail.ru залогиньтесь
0 |
21-07-2010 14:31:52
Эх... Прошли времена асемблера и гиганских, многокилобайтных вирусов, и начались времена вижуал бэйсика и 50 мегабайтных троянов...
0 |
Гость
21-07-2010 17:20:33
Следующий шаг вирусописателей - обсфуркация кода. И вся эта меттодика отправится в ДЭП.
0 |
Дядя Вася
03-08-2010 11:07:45
Обфускация кода применяется давно, так же, как и методы противодействия отладке. В феврале мне попался вирус (на флешке приехал), который на тестовой платформе укладывал аваст home при попытке ручной проверки, причем укладывал намертво с выгрузкой процесса. Монитор тоже никак не реагировал, скорее всего тоже тихо умирал.
0 |