Av
På konferensen Black Hat i Las Vegas nästa vecka ska Greg Hoglund som är vd på Hbgary prata om nya metoder för att analysera programkod. Namnet på föredraget är Malware Attribution: Tracking Cyber Spies and Digital Criminals.
Genom att identifiera vilka utvecklingsverktyg som använts och hitta kännetecken på olika utvecklares sätt att koda hävdar Greg Hoglund att det blir enklare att förstå syftet med koden. Han nämner ett exempel på ett skadligt program som han analyserat. Det framgår att det använder programmen Back Orifice 2000 och Ultra VNC och att kod hämtats från en programmeringsguide från Microsoft. Med hjälp av den informationen går det att identifiera utvecklaren eller gruppen av utvecklare. Eller för att uttrycka det annorlunda: Skapa ett digitalt ”fingeravtryck”.
Det digitala fingeravtrycket kan sedan användas för att skapa en signatur för att identifiera andra skadliga program av utvecklaren. Det gör det också möjligt att snabbt dra slutsatser om syftet med skadlig kod. Ytterligare ett användningsområde är att avgöra om man drabbas av en samlad attack från en person eller en grupp, eller om det handlar om spridda angrepp.
Hela resonemanget bygger på att en utvecklare dels behåller sin stil, dels återanvänder kod från äldre program.
– Skaparna av skadliga program ändrar inte sin kod så ofta. Det går inte att stänga dem ute, men det går att identifiera deras program snabbare, säger Greg Hoglund.
Han säger vidare att användningen av de digitala fingeravtrycken ska göra det möjligt att skapa bättre signatursamlingar för skadlig kod.
Som ett exempel på analyser som redan gjorts nämner Greg Hoglund att han identifierat utvecklaren bakom intrångsförsök på både det amerikanska försvarsdepartementet och på en militärbas. En del av analysen bygger på att det finns spår av kinesiska utvecklingsverktyg i koden.
Greg Hoglund planerar ett lansera ett verktyg som heter Fingerprint på Black Hat. För att det ska fungerar krävs det att det kan ”se” koden köras i minnet, det räcker inte med att enbart titta på den exekverbara koden.
IDG News
Genom att identifiera vilka utvecklingsverktyg som använts och hitta kännetecken på olika utvecklares sätt att koda hävdar Greg Hoglund att det blir enklare att förstå syftet med koden. Han nämner ett exempel på ett skadligt program som han analyserat. Det framgår att det använder programmen Back Orifice 2000 och Ultra VNC och att kod hämtats från en programmeringsguide från Microsoft. Med hjälp av den informationen går det att identifiera utvecklaren eller gruppen av utvecklare. Eller för att uttrycka det annorlunda: Skapa ett digitalt ”fingeravtryck”.
Det digitala fingeravtrycket kan sedan användas för att skapa en signatur för att identifiera andra skadliga program av utvecklaren. Det gör det också möjligt att snabbt dra slutsatser om syftet med skadlig kod. Ytterligare ett användningsområde är att avgöra om man drabbas av en samlad attack från en person eller en grupp, eller om det handlar om spridda angrepp.
Hela resonemanget bygger på att en utvecklare dels behåller sin stil, dels återanvänder kod från äldre program.
– Skaparna av skadliga program ändrar inte sin kod så ofta. Det går inte att stänga dem ute, men det går att identifiera deras program snabbare, säger Greg Hoglund.
Han säger vidare att användningen av de digitala fingeravtrycken ska göra det möjligt att skapa bättre signatursamlingar för skadlig kod.
Som ett exempel på analyser som redan gjorts nämner Greg Hoglund att han identifierat utvecklaren bakom intrångsförsök på både det amerikanska försvarsdepartementet och på en militärbas. En del av analysen bygger på att det finns spår av kinesiska utvecklingsverktyg i koden.
Greg Hoglund planerar ett lansera ett verktyg som heter Fingerprint på Black Hat. För att det ska fungerar krävs det att det kan ”se” koden köras i minnet, det räcker inte med att enbart titta på den exekverbara koden.
IDG News
(
Enkelt - (billskit) 2010-07-20 19:47
Enkelt - (marine) 2010-07-20 20:31
Enkelt - (Jarsater) 2010-07-20 22:21
Måste vara bullskit... - (ottan ) 2010-07-20 23:24
Måste vara bullskit... - (geiko) 2010-07-21 11:08
Enkelt - (LoomChild) 2010-07-21 11:21
Måste vara bullskit... - (ottan ) 2010-07-21 11:29
Måste vara bullskit... - (LoomChild) 2010-07-21 11:33
Måste vara bullskit... - (LoomChild) 2010-07-21 11:36
Måste vara bullskit... - (Ichinin) 2010-07-22 07:19