• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Гостевая статья Анализ вредоносных программ - классификация и идентификация вредоносных программ

Анализ вредоносных программ - классификация и идентификация вредоносных программ.png


Классификация и идентификация вредоносных программ
Классификация вредоносных программ - это процесс классификации образцов вредоносных программ на основе общих характеристик с ранее проанализированными образцами. Пример этих характеристик: строки и двоичный код.

Что не так с хэш-основанной идентификацией/классификацией?
Содержимое образцов изменяется злоумышленниками для уклонения от хэш-основанной идентификации/классификации.
Криптографическое хэширование является точным только в том случае, если данные/содержимое выборок остаются прежними, если изменяется только одна строка кода, то изменяется хэш.

Примечание: Злоумышленник может изменить только небольшую часть образца, но функциональность вредоносного ПО остается прежней, в то время как хэш изменяется полностью.
Например: Многие злоумышленники обычно устанавливают случайные данные/строки, чтобы изменить хэш и избежать обнаружения/идентификации на основе хэша. (Последовательности мусора)

Что я имею в виду? - Хеш на основе идентификации/обнаружения сигнатур неточен и не должен полагаться на точную классификацию/идентификацию образцов.

Что такое YARA?
YARA - фантастическое средство идентификации и классификации вредоносных программ, которое работает, сопоставляя шаблоны различных образцов вредоносных программ.

Что ты можешь сделать с YARA?
Идентификация подписи на основе конкретных подписей.
Можно создать правила, идентифицирующие определенные сигнатуры, которые затем можно будет использовать для обнаружения подобных инфекций в будущем. (AV’s)

—————
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!