拉斯维加斯-在过去五年中,防病毒公司和恶意软件分析初创公司创建了用于识别和分类恶意软件的自动化系统。但是,这样的封闭系统经常无法检测到最新的恶意软件,并且很少允许安全研究人员窥视结果。在8月7日举行的Black Hat安全会议上,一组研究人员宣布了一个开放的自动化恶意软件分析平台,该平台使用大数据技术将任何提交的样本与已知的恶意软件家族进行匹配,从而帮助安全分析人员和研究人员追踪代码沿袭和可能有助于归因于攻击。
名曰Cynomix,该服务结合了四种不同类型的分析,以确定共同的代码,并发现新的或不断发展的技术,在处理涉及数以亿计的恶意软件样本的大规模问题,约书亚萨克斯,在Invincea数据科学副研究主任实验室告诉Black Hat与会者。
他说,通过将一个恶意软件与一系列类似程序匹配,自动分析可以帮助研究人员加快样品的逆向工程。
萨克斯说:“如果我是一名生物学家,并且完成了所有这些工作,然后得知有一种被称为斑马的动物,那么我就不必重做全部工作。” “恶意软件也是如此。”
Cynomix项目出现之际,防病毒公司越来越多地自动化了对恶意软件的分析,并对迅速增加的恶意代码变体做出了反应。
在2000年代初期,攻击者采用了各种技术来快速创建代码变体以逃避标准防病毒扫描程序。结果,根据防病毒测试实验室AV-Test的统计,特洛伊木马,病毒和其他恶意代码的独特变体数量从不到1000万猛增到如今的2.5亿。
越来越多的恶意软件使分析变得更加困难,并迫使公司更多地依赖自动化技术和机器学习。涌现了许多基于云的恶意软件分析服务,以允许公司对遇到的二进制文件执行自己的分析。诸如ThreatGRID,国际安全系统实验室的Anubis和Malwr之类的服务使分析人员可以比较不同的功能或对潜在的恶意程序进行运行时分析。
据Invincea的Saxe称,Cynomix使用四种不同类型的分析,并使用机器学习算法将其组合以获得更好的结果。分析系统比较程序中的静态文件属性,动态运行时分析,指令级功能和元数据,以创建类似威胁的群集。
萨克斯说:“使用所有这些(不同技术)的直觉是,恶意软件作者可以击败其中一种方法,但是恶意软件作者要击败所有这四种方法要困难得多。”
研究人员可以将恶意软件提交给Cynomix,然后使用系统查找与其他恶意软件相似的功能。他说,该服务可以处理混淆问题,并且可以解决在具有数亿个恶意软件变体的数据库中比较功能的更大问题。Saxe说,Invincea计划使用该项目生成的数据来改进其产品并加快对新恶意软件家族的检测速度。
