Классификация и идентификация вредоносных программ
Классификация вредоносных программ - это процесс классификации образцов вредоносных программ на основе общих характеристик с ранее проанализированными образцами. Пример этих характеристик: строки и двоичный код.
Что не так с хэш-основанной идентификацией/классификацией?
Содержимое образцов изменяется злоумышленниками для уклонения от хэш-основанной идентификации/классификации.
Криптографическое хэширование является точным только в том случае, если данные/содержимое выборок остаются прежними, если изменяется только одна строка кода, то изменяется хэш.
Примечание: Злоумышленник может изменить только небольшую часть образца, но функциональность вредоносного ПО остается прежней, в то время как хэш изменяется полностью.
Например: Многие злоумышленники обычно устанавливают случайные данные/строки, чтобы изменить хэш и избежать обнаружения/идентификации на основе хэша. (Последовательности мусора)
Что я имею в виду? - Хеш на основе идентификации/обнаружения сигнатур неточен и не должен полагаться на точную классификацию/идентификацию образцов.
Что такое YARA?
YARA - фантастическое средство идентификации и классификации вредоносных программ, которое работает, сопоставляя шаблоны различных образцов вредоносных программ.
Что ты можешь сделать с YARA?
Идентификация подписи на основе конкретных подписей.
Можно создать правила, идентифицирующие определенные сигнатуры, которые затем можно будет использовать для обнаружения подобных инфекций в будущем. (AV’s)
—————
Ссылка скрыта от гостей