导语:2017年4月1日和4月2日,来自卡巴斯基实验室的全球研究和分析团队(GReAT)的首席安全研究员Vitaly Kamluk等大咖们将会在圣马丁岛为前来参加的网络安全人士进行如何利用YARA来搜索恶意软件相关方面的培训。
如果你对恶意软件的事件非常感兴趣,有一个大好的学习机会你一定不能错过,2017年4月1日和4月2日,来自卡巴斯基实验室的全球研究和分析团队(GReAT)的首席安全研究员Vitaly Kamluk等大咖们将会在圣马丁岛为前来参加的网络安全人士进行如何利用YARA来搜索恶意软件相关方面的培训。
参与本次每个培训师都有过过硬的恶意软件发现经历,包括:
Stuxnet(超级工厂病毒,是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击), Duqu(是继Stuxnet蠕虫后最为恶性的一种可窃取信息的蠕虫), Flame(被认为是迄今为止发现的最大规模和最为复杂的网络攻击病毒), Gauss(一个从事收集财务信息的间谍软件), Red October(该病毒采取钓鱼式攻击模式,专门针对各国政府、外交使馆、能源公司等机构,不断窃取大量高级机密信息,是一种具有高持续性威胁的网络间谍程序), MiniDuke(高度可定制的恶意程序), Turla(史上最复杂的APT间谍软件), Careto/TheMask(该病毒的设计者具有相当高的专业水平,截至目前仍深藏不露。安全措施级别之高绝非普通网络犯罪团伙可及), Carbanak(专门入侵银行系统管理员账号,获得权限,通过内部视频监控镜头观察员工的一举一动), Duqu2(最大特点是恶意代码只驻留在被感染机器的内存里,硬盘里不留痕迹)。
在培训期间,专家将允许参与培训的人访问一些卡巴斯基实验室内部系统(这些内部系统平时都是保密的),以展示该公司的恶意软件分析师如何发现稀有的恶意软件样本。据悉,在经过两天的培训后,即使是网络安全的新手,你也可以开始使用YARA工具来发现恶意软件。本次报名仅限15名,有意者请从速。
YARA是什么?
YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具(由virustotal的软件工程师Victor M. Alvarezk开发),使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。YARA的每一条描述或规则都由一系列字符串和一个布尔型表达式构成,并阐述其逻辑。YARA规则可以提交给文件或在运行进程,以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件家族。比如下面这个例子:
rule silent_banker : banker { meta: description = "This is just an example" thread_level = 3 in_the_wild = true strings: $a = {6A 40 68 00 30 00 00 6A 14 8D 91} $b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9} $c = "UVODFRYSIHLNWPEJXQZAKCBGMT" condition: $a or $b or $c }
以上规则告诉YARA任何包含有$a、$b、$c字符串的文件都被标识为slient_banker。这仅仅是一个简单的例子,YARA的规则可以复杂和强大到支持通配符、大小写敏感字符串、正则表达式、特殊符号以及其他特性。
为什么选择YARA进行培训?
网络安全界有一个共识,昨天生效的保护措施不能保证明天的安全水平。而YARA简单明了的规则语法和布尔逻辑形成了一个完美的感染指标(Indicators of Compromise,简称为IoCs)
威胁情报会广泛的处理所收集的数据,以获取正确的网络信息,通过分析,识别威胁并响应。这类处理通常是在网络安全监控过程实现,威胁情报提供分析出的感染指标(IoCs)用于寻找被入侵的迹象。
感染指标(IoCs)一般表现为以下几种情况:
1.原子级的信息,如IP地址,邮件地址, 2.可计算的信息,如恶意文件的数字哈希, 3.行为指标信息,如恶意行为者的行为概览,
被识别出来的感染指标(IoCs)可以通过STIX/TAXII 和OpenIOC等标准共享,如特定行业通常从信息共享与分析中心(ISACs)获取和共享威胁信息。
也就是说感染指标(IoCs)可以帮助您搜索已知恶意软件的使用痕迹。但是,严重的恶意软件通常都会发生变异,从而使IoCs更加低效。但是良好的YARA检测规则仍然能让分析师发现恶意软件,YARA规则可以部署在网络中和各种多扫描器系统上。
预计培训结果
通过培训的人们将能够开始编写相对复杂的YARA规则,用于发现恶意软件,从多态的键盘记录器到无法用字符串轻松检测的高度复杂的恶意软件。 GReAT培训师将教授你如何平衡YARA规则,换句话说,如何编写检测规则,同时把误测的风险降到最低。当你试着将YARA规则作为日常网络安全工作的一部分时,培训师还将继续和你分享他们更多的经验。
对参与培训人员的要求是什么?
你不必是一个网络安全专家,因为通过这次培训,足够让你了解如何使用TextEditor和UNIX grep工具的基本知识,以及基本了解什么是计算机病毒和什么二进制病毒。你要做的就是在计算机上安装一个YARA软件 3.4.0版本。当然你如果有恶意软件分析,逆向工程和编程(特别是在结构化语言中)的经验将让你的培训效果更好。
卡巴斯基实验室的GReAT使用YARA的最有名的案例之一就是发现了非常有名的Silverlight零日漏洞,具体的过程如下:
2015年七月,代号为 Phineas Fisher 的黑客攻击了意大利公司 Hacking Team ,并窃取了400GB 的公司数据,并将拿到的内部邮件公布在了网上。这次入侵将该公司的业务记录公之于众,同时暴露了一些想要向 Hacking Team 销售零日漏洞的黑客,比如Toropov,资料显示Toropov曾试图将微软Silverlight的零日漏洞出售给Hacking Team,但该漏洞却无法引起Hacking Team的兴趣,不过却引起了卡巴斯基的注意。据卡巴斯基的说法,利用YARA规则特殊的shell代码和函数名,然后分析出了代码中的一些独特的字符串。
目前,YARA可以用于任何类型的分类查找,如通过元数据,电子邮件等查找文档。如果你感兴趣,就赶紧去报名吧!