信息來源：4hou

遺傳惡意軟件分析（Genetic Malware Analysis）技術(shù)基于識別與已知軟件的代碼相似性，可幫助政府機(jī)構(gòu)應(yīng)對以下網(wǎng)絡(luò)安全挑戰(zhàn)：

1.威脅情報：自動提供對未知文件的逆向工程級別的分析，包括惡意軟件家族分類，YARA簽名，相關(guān)樣本和其他上下文。

2.歸因：事實(shí)證明，遺傳惡意軟件分析可以準(zhǔn)確地檢測并歸因于威脅行為者的復(fù)雜APT和惡意軟件。

3.加快事件響應(yīng)速度：通過自動執(zhí)行文件和內(nèi)存分析過程，政府機(jī)構(gòu)可以減少誤報，并立即對大規(guī)模的網(wǎng)絡(luò)事件進(jìn)行優(yōu)先級劃分，調(diào)查和響應(yīng)。

網(wǎng)絡(luò)對關(guān)鍵基礎(chǔ)設(shè)施的威脅 

政府機(jī)構(gòu)負(fù)責(zé)保護(hù)重要的基礎(chǔ)設(shè)施，也就是對國家經(jīng)濟(jì)和社會福祉至關(guān)重要的資產(chǎn)。例如，在美國，有16個部門被指定為關(guān)鍵基礎(chǔ)設(shè)施，其中包括農(nóng)業(yè)，關(guān)鍵制造業(yè)，國防工業(yè)基礎(chǔ)，金融服務(wù)，信息技術(shù)，能源和運(yùn)輸?shù)取?

對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅可能對國家安全，經(jīng)濟(jì)穩(wěn)定以及國家公共健康與安全產(chǎn)生致命的影響。這主要是因?yàn)樗嘘P(guān)鍵基礎(chǔ)設(shè)施部門在某種程度上都依賴于連接到Internet的網(wǎng)絡(luò)和系統(tǒng)。就像幾乎所有與Internet相連的資產(chǎn)一樣，這些網(wǎng)絡(luò)和系統(tǒng)也無法避免受到對手的侵害，這些對手擁有滲透和攻擊網(wǎng)絡(luò)領(lǐng)域目標(biāo)所需的技能，知識和資源。

不管這種攻擊背后的動機(jī)是什么，后果都是很嚴(yán)重的。例如，如果勒索軟件感染了控制一個國家能源網(wǎng)的網(wǎng)絡(luò)和系統(tǒng)，其后果可能無法想象。受害者可能難以調(diào)節(jié)環(huán)境溫度，獲取自來水并使用電子設(shè)備進(jìn)行通信。如果網(wǎng)絡(luò)攻擊阻礙了緊急服務(wù)的訪問（如過去的攻擊所證明的那樣），那么那些受眾人群將面臨更大的危險。

用于政府機(jī)構(gòu)的遺傳惡意軟件分析用例

政府機(jī)構(gòu)可以利用遺傳惡意軟件分析來減少誤報，并更準(zhǔn)確地檢測，分類和響應(yīng)更多的網(wǎng)絡(luò)威脅，包括諸如逃避和無文件惡意軟件之類的高級威脅。

從提高檢測能力和增強(qiáng)威脅研究到歸因于國家資助的威脅和加快事件響應(yīng)，以下是遺傳惡意軟件分析可幫助政府機(jī)構(gòu)解決其任務(wù)的一些用例：

用例1：豐富威脅情報

所有惡意軟件均包含可執(zhí)行的機(jī)器代碼，惡意軟件作者在編寫新的惡意軟件時會重用代碼，因?yàn)樗归_發(fā)和部署過程更快，更有效。隨著攻擊者繼續(xù)開發(fā)新的惡意軟件，他們會建立代碼模式。對于防御者來說，這就為檢測，惡意軟件家族分類，YARA簽名和相關(guān)樣本提供了關(guān)鍵信息。

遺傳惡意軟件分析基于進(jìn)化原理，即所有軟件（無論合法還是惡意）均由先前編寫的代碼組成。遺傳惡意軟件分析技術(shù)將任何文件或二進(jìn)制文件分解為微小的代碼片段（也稱為基因），然后將代碼片段與大型基因組數(shù)據(jù)庫進(jìn)行比較，該數(shù)據(jù)庫包含來自已知受信任和惡意軟件的數(shù)十億個代碼片段。在幾秒鐘內(nèi)識別出每個代碼段的起源，可以立即為每一個警報提供逆向工程級別的洞察，包括:

1.警報是否包含惡意代碼，或者是誤報？

2.如果警報包含惡意代碼，那么它是什么特定類型的威脅？例如，惡意軟件是廣告軟件還是勒索軟件？該問題的答案將揭示惡意軟件的意圖，進(jìn)而幫助防御者更適當(dāng)?shù)卣{(diào)整其響應(yīng)。

該惡意軟件是否與以前以我的組織為目標(biāo)的事件有關(guān)？

3.威脅的復(fù)雜程度如何?

4.將惡意軟件分類到相關(guān)的惡意軟件家族；

5.生成高級YARA規(guī)則以提高威脅搜尋能力；

這些見解將為安全團(tuán)隊(尤其是SOC和事件響應(yīng)功能)提供所需的環(huán)境，以更好地評估其組織面臨的風(fēng)險，確定警報的優(yōu)先級并更有效地調(diào)整其響應(yīng)。我們將在后面提到，遺傳惡意軟件分析是為自動化而構(gòu)建的，這使安全團(tuán)隊能夠快速檢測、分類和響應(yīng)大規(guī)模的日常警報。

用例2：歸因

政府機(jī)構(gòu)了解歸因于網(wǎng)絡(luò)威脅的重要性，特別是國家贊助的行為者對關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成了重大威脅。由于這些行為者是代表外國政府工作的，并得到外國政府經(jīng)常提供的資源的支持，因此，無論他們是獲得機(jī)密情報以支持軍事還是經(jīng)濟(jì)，他們都趨于更加成熟，能夠成功地完成其預(yù)期的行動優(yōu)勢，或在發(fā)生外交爭端后對外國對手進(jìn)行報復(fù)。

WannaCry

WannaCry于2017年5月部署，是歷史上規(guī)模最大的勒索軟件攻擊之一，感染了150個國家/地區(qū)的20多萬臺電腦。在被攻擊的組織中有政府機(jī)構(gòu)，其中一個是國家衛(wèi)生服務(wù)中心，該中心報告說，多達(dá)7萬臺設(shè)備，包括電腦、核磁共振掃描儀和血液存儲冰箱可能受到了影響。

攻擊發(fā)生后不久，遺傳惡意軟件分析能夠立即識別WannaCry與以前不相關(guān)的惡意軟件家族Brambul，Joanap和Lazarus（當(dāng)時被認(rèn)為是朝鮮黑客）之間的明確代碼重用連接。代碼重用表明這些黑客工具是由同一位開發(fā)者編寫或修改的，在這方面Intezer公司是第一個將WannaCry攻擊歸咎于朝鮮的組織，先于領(lǐng)先的引擎和政府機(jī)構(gòu)。

MirageFox

在另一個示例中，繼2018年6月美國海軍承包商被黑客入侵以及海底戰(zhàn)中高度敏感的數(shù)據(jù)被盜之后，遺傳惡意軟件分析技術(shù)確定了Intezer研究人員命名為MirageFox的惡意軟件與以前的遠(yuǎn)程訪問木馬之間的代碼重用（ RAT）稱為Mirage，據(jù)信起源于2012年。通過分析代碼復(fù)用，Intezer發(fā)現(xiàn)MirageFox與APT15使用的Mirage變體共享了90％以上的代碼。

APT28

Sofacy，也稱為Fancy Bear或APT28，是隸屬于俄羅斯政府的網(wǎng)絡(luò)間諜組織。該組織自2000年代中期以來一直很活躍，據(jù)信是對德國議會，白宮和北約的襲擊負(fù)責(zé)。

在下面的示例中，上傳到Intezer Analyze?的文件與Sofacy共享了90％以上的代碼。此外，其相關(guān)樣本與X-Agent特別相關(guān)，X-Agent是該組織通常用來從受感染的端點(diǎn)竊取信息的工具。結(jié)果，該文件被自動檢測為惡意文件，并歸因于APT28。

用例3：加速事件響應(yīng)

自動化惡意軟件分析

惡意軟件分析很難擴(kuò)展，特別是政府機(jī)構(gòu)必須調(diào)查大量警報，如果要確保事件不會越過裂縫，自動化就變得至關(guān)重要。

基因惡意軟件分析技術(shù)是為自動化而構(gòu)建的，使安全團(tuán)隊能夠自動大規(guī)模調(diào)查可疑文件和終結(jié)點(diǎn)，以確保不會對任何警報進(jìn)行調(diào)查。

Intezer Analyze?可以輕松地與SIEM和SOAR系統(tǒng)集成，以確保每個警報或可疑文件都能在很短的時間內(nèi)自動分析。結(jié)果，組織能夠調(diào)查每個警報，從而減少誤報的數(shù)量，并將精力集中在對更多實(shí)際威脅的響應(yīng)上。

自動內(nèi)存分析

現(xiàn)代的端點(diǎn)保護(hù)解決方案將搜索諸如遠(yuǎn)程訪問內(nèi)存或注冊表中的特定鍵之類的模式，以警告異?；蚩梢尚袨椤Ｔ谶@方面，這些解決方案可有效防止受感染的文件或腳本進(jìn)入端點(diǎn)并在端點(diǎn)內(nèi)運(yùn)行。

但是，僅阻止惡意軟件還不夠，因?yàn)閻阂獯a仍可以在計算機(jī)內(nèi)存中運(yùn)行。 Intezer的端點(diǎn)分析解決方案可自動執(zhí)行復(fù)雜的內(nèi)存分析過程，掃描并分析機(jī)器內(nèi)存中運(yùn)行的每段代碼。自動化可以為安全團(tuán)隊節(jié)省寶貴的時間，并幫助他們檢測內(nèi)存中的高級威脅，例如惡意代碼注入，打包和無文件惡意軟件。

上面突出顯示的用例都可以可以協(xié)同工作，以幫助組織改進(jìn)和自動化其安全操作并加速事件響應(yīng)。先進(jìn)的網(wǎng)絡(luò)威脅的存在和嚴(yán)重的警報使遺傳惡意軟件分析成為政府機(jī)構(gòu)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的必不可少的資源，以便正確有效地大規(guī)模應(yīng)對安全事件。通過實(shí)施遺傳惡意軟件分析技術(shù)，政府機(jī)構(gòu)可以更準(zhǔn)確地檢測，分類和響應(yīng)更多的網(wǎng)絡(luò)威脅，尤其是來自復(fù)雜的APT的網(wǎng)絡(luò)威脅，以維護(hù)國家的安全，經(jīng)濟(jì)穩(wěn)定以及國家公共衛(wèi)生和安全。