Disclosure:
联盟委员会

虽然VPnmentor可以在使用我们的链接进行购买时收到佣金,但这对评论内容或审查的产品/服务没有影响。我们提供直接链接,以购买作为附属计划的一部分的产品。

• Ownership

VPnmentor由Kape Technologies PLC拥有,拥有以下产品:Cyber​​Ghost,Zenmate,私人互联网接入和Intego,可以在本网站上进行审核。

•专业评论

VPnmentor包含由我们的社区审核人员撰写的评论,并根据审阅者的独立和专业审查产品/服务。

• Reviews Guidelines

VPnmentor上发布的审查由专家撰写,根据我们的严格审查标准来检查产品。此类标准确保每次审查都基于对审核人的独立,专业和诚实的审查,并考虑了产品的技术能力和品质,以及用户的商业价值,也可能影响该产品在网站上的排名。

Intezes分析重复使用的代码,以有效地区分合法和恶意

处理数百个未知的文件和许多假阳性,执行内存分析和保护无线恶意软件代表今天面临的一些最大的挑战。 Intezer Analyze™通过分解每个未知文件的代码并将其“基因”与以前看到的代码进行比较,提供快速的恶意软件检测和分析,以及合法和恶意.

请告诉我们在Intezer的背景和当前位置。

在2015年创建Intezer之前,我是以色列国防军的头部主管(事件反应团队),我每天都处理全国赞助的攻击。我的职责包括响应这些攻击,取证,恶意软件分析等。

今天最大的网络安全威胁是什么以及在他们攻击之前识别这些威胁的最大挑战是什么?

最大的威胁是那些不产生任何噪音的网络攻击。  网络攻击是如此隐秘的是,他们没有出现任何异常或奇怪的行为,因此他们能够通过今天提供的大多数解决方案来避免检测。这些极度隐秘的攻击中包括无用的恶意软件和内存攻击。

无纺布代码/恶意软件是什么?

无纺丝攻击非常复杂。当有人向您发送文件时,您将在桌面和磁盘上看到它。然而, 有攻击者可以直接在内存中运行代码,以便您不会看到任何类型的文件。这种类型的恶意“丝绒”代码有时通过“Dropper”有效载荷文件传送,一旦它在内存中运行此恶意代码,就会删除本身。

您开发了哪种技术来防止这些隐身的攻击?

Intezer Analyze™可以识别和分析网络威胁,无论文件如何与网络的当前行为如何出现。 我们的方法不是要查看文件的行为方式,这可以被愚弄或欺骗,但要查看文件的起源。因此,即使您拥有这种非常隐秘的恶意软件,它不会产生任何噪音,我们仍将通过跟踪其代码的起源来检测它。

请在Intezer Analyze™的背景下解释术语“DNA”和“Gene”和“代码基因组数据库”的使用。

我们的方法实际上与现实生活DNA映射非常相似。 我们可以采用组织中运行的任何文件或软件,并将其解剖到许多小块 我们称之为“基因”的二进制代码。 然后,我们在过去搜索和识别我们在过去的每一个基因中看到的地方。例如,如果您有一个文件,您无所谓,我们可以在从已知恶意软件或已知的威胁参与者中重复使用的代码时提醒您。因此,我们不仅可以确定文件是否好坏,而且,在大多数情况下,我们可以识别谁对某种网络签证负责。

能够识别恶意代码的来源是什么?

两个主要原因。一个是 如果你知道一块软件起源的地方,即使它没有任何特殊的事情,但它仍然来自一定的威胁演员,这是合理的,这是一个坏文件.

其次,它可以帮助您了解您正在处理的内容。例如,如果您知道您正在处理APT或高级威胁演员,那么响应本身就会显着不同,如果您只是处理普通的互联网骗局。因此,专注和加速响应是您从理解文件中代码的起源的非常重要的价值。

因此,随着检测到新的威胁,您不断分析文件并添加到基因组数据库?

正确的。这个想法是在合法和恶意软件中创建所有代码中所有代码的所有基因的大量数据库,以便我们可以检测未知或可疑文件中的代码重用和代码相似性。就像谷歌必须每天索引越来越多的网站一样,我们需要每天索引更多的软件和更多恶意软件,所以 我们的数据库不断发展.

你知道,令人惊叹的是,每个人都重新使用代码。即使Microsoft创建了一个新产品,它们也会重用代码。所以, 软件在合法和恶意病例中真正进化.

这是这个概念,使我们的技术如此有效 - 即使是一个不包括世界上所有威胁或世界上所有软件的巨大数据库也是巨大的价值。

你能识别零天攻击吗?

绝对地。实际上, 零日攻击是我们的甜蜜点,因为这些复杂的威胁是如此隐秘,他们设法绕过今天的下一代解决方案。想象一下,您是一个精致的威胁演员,他已经花了大约十年的时间为恶意软件和网络攻击开发代码。你不能真正将数十万岁的发展扔进垃圾桶,并每次都开始从头开始。

一个非常好的例子是Wannacry,最臭名昭着的赎金书,去年是全球遍布全球数百万台电脑的。 我们是世界上第一家,以确定这一威胁始于朝鲜。这是因为我们发现了代码,DNA,内部Wannacry,我们认为我们被认为是代码 只要 起源于以前的朝鲜恶意软件。虽然恶意重复使用代码是我们的创新,但我们在这里的创新却是我们的创新。

威胁演员是否有可能 不是 来自朝鲜可以从瓦桑塔克里重复使用代码,知道代码分析将指控朝鲜的责任吗?

这是一个很棒的问题!要重用朝鲜恶意软件代码,其他攻击者需要实际的源代码。   实际上是不可能重用二进制代码,他们需要破解朝鲜政府,窃取他们的源代码,然后通过修改重新编译。所以,这种情况非常不太可能。

您能否向我们展示Intezer Analyze™的DNA映射的示例?

以下是一个可疑文件的情况,声称是Windows文件。在我上传文件并分析其DNA之后,您可以看到我们提取了462个基因或微小的代码。

点击 这里 对于互动演示。

屏幕的右侧是魔法发生的地方,DNA映射发生。首先,我们没有从Microsoft看到一个基因,这意味着此文件中的任何代码都不在Microsoft产品中使用。它立即告诉我们,这不能是Windows文件。我们还认识到,此文件中的近80%的代码已经在vandacry的先前变体中看到。现在这里最有趣的是,近6%的代码或26个基因以前用于拉撒勒斯,朝鲜威胁演员在2009年攻击索尼。所以,你看到了 甚至在攻击后的年份,原始恶意代码仍在用于创建新的恶意软件.

Intezer Analyze™如何在检测恶意软件时降低误报?

由于我们的Genome数据库不仅包含不良代码而且是合法的代码,我们可以通过分析代码重用和代码相似度来识别文件是否好坏。例如,如果您拥有Microsoft的文件,其中另一个解决方案或安全系统可能导致可疑,Intezer会将其作为合法识别,因为它在其他Microsoft产品中已经看到了90%的代码。所以, 我们减少了来自其他安全系统的许多误报,因为我们刚确定了DNA作为可信供应商的DNA.

我总是说Skype基本上是一种类似于间谍工具的病毒,因为它记录了你的击键并有相机。所以, 虽然Skype看起来它表现不好,但我们知道它是好的代码源自并属于Microsoft。最好的比喻正在看到街道上的人戴着面具并携带枪,他看起来并表现得很危险。但是,如果你服用他的DNA,它与中央情报局代理商匹配,那么你就可以理解他真的很好。

3月份您对亚特兰大的赎金软件攻击的来源有什么洞察力吗?

是的,在亚特兰大网络ack的情况下,他们使用了ransomware称为samsam的ransomware与其他勒索软件文件共享代码。此屏幕截图显示了我们如何将此文件确认为恶意,确定了源头以及我们的DNA映射如何防止这种攻击。

 

关于作者

g’第一个PC是TRS-80,需要录像带录像带启动。在几十年之后,她创建和开发了网站,电子邮件和横幅,作为结合她对设计,技术和写作的热爱的完美方式。

你喜欢这篇文章吗?评分!
我讨厌它! 我真的不喜欢它 这个还行吧 非常好! 爱它!
Voted by 用户
感谢您的反馈意见
Comment 注释必须是5到2500个字符。